Wenn DNSSEC in der Domainverwaltung aktiviert wurde (z. B. über PowerAdmin), werden mehrere Schlüssel angezeigt. Für die Registrierung/Domainverwaltung müssen jedoch nur bestimmte Schlüssel übertragen werden.
- KSK (Key Signing Key, Flags: 257)
- DS-Record mit Digest-Type 2 (SHA-256)
Andere angezeigte Schlüssel dienen der internen DNSSEC-Signierung und müssen nicht eingetragen werden.
DNSKEY: Identifikation des korrekten Schlüssels
So unterscheiden sich die angezeigten Schlüssel:
| Flags | Typ | Bei Domainregistrar hinterlegen? |
|---|---|---|
| 256 | ZSK (Zone Signing Key) | Nein |
| 257 | KSK (Key Signing Key) | Ja |
Beispiel-DNSKEY (KSK):
swissodon.ch. 3600 IN DNSKEY 257 3 13 9AdLYfbsjiVPCg9XITtngtt8vqE19jUEs7TiA/BQorsuybyopGdKNp4JrKqRfgRkMrLOzhlBska5zqpzcV7BfA==
Wichtig: Der Domainname endet mit einem Punkt (.)
DS-Record: Welcher Hash wird benötigt?
Zur Auswahl stehen meist zwei Digest-Typen:
- Digest-Type 2 (SHA-256) – verwenden
- Digest-Type 4 (SHA-384) – optional, nur wenn erforderlich
Beispiel-DS (SHA-256):
swissodon.ch. 3600 IN DS 64595 13 2 6857012df7cf610becf0c8f6a7018f0b3484571a01779dd864c0fb6d7afb30b5
Wichtige Hinweise zur Eingabe
- Keine Kommentare, Semikolons oder extra Leerzeichen einfügen
- Domainname muss mit Punkt enden (Beispiel: onesystems.ch.)
- Nur den DNSKEY mit Flags 257 übertragen
- Sicherstellen, dass Digest-Type 2 verwendet wird
- Änderungen benötigen ggf. Wartezeit, bis die Validierung aktiv ist
Nach dem Eintrag kann die DNSSEC-Konfiguration mit Tools wie DNSViz oder Zonemaster geprüft werden.
