PDNS Manager

DNSSEC

DNSSEC schützt die Antworten deiner Zone gegen Manipulation – Resolver können kryptografisch prüfen, dass die Antwort wirklich von dir kommt und nicht unterwegs verfälscht wurde. Im PDNS Manager lässt sich DNSSEC pro Zone aktivieren oder ausschalten, ohne dass du pdnsutil in die Hand nehmen musst.

Wie DNSSEC funktioniert (in 3 Sätzen)

Du hast zwei Schlüsselpaare: einen ZSK (Zone Signing Key) signiert die einzelnen RRsets, einen KSK (Key Signing Key) signiert den ZSK. Den Hash des KSK – den DS-Record – legst du beim Registrar deiner Domain ein, damit die globale DNS-Hierarchie weiß, welcher KSK echt ist. Resolver folgen der Kette von der Root-Zone bis zu deiner Zone und akzeptieren die Antworten erst dann als signiert.

DNSSEC aktivieren

  1. Zone-Detail öffnen.
  2. DNSSEC-Panel auf der rechten Seite, Schalter „Aktivieren".
  3. PowerDNS legt automatisch ZSK + KSK an. Standardmäßig ECDSA P-256 (Algorithmus 13), was 2026 weiterhin der empfohlene Default ist.
  4. Nach ein paar Sekunden zeigt das Panel die generierten DS-Records an, jeweils in den beiden gängigen Hash-Varianten (Algorithmus 1 = SHA-1 und 2 = SHA-256). Wichtig ist nur Algorithmus 2.
example.com.  DS  12345  13  2  1A2B3C4D5E6F7890ABCDEF1234567890...

Aufschlüsselung: 12345 = Key-Tag, 13 = ECDSA P-256, 2 = SHA-256 als Hash, dann der eigentliche Fingerprint.

DS-Records beim Registrar eintragen

Wo das geht, hängt vom Registrar ab. Typische Bezeichnungen:

  • DNSSEC / DS Records
  • Domain Security Extensions
  • Validation / Secure DNS

Du brauchst die vier Felder: Key-Tag, Algorithmus, Digest-Typ, Digest. Manchmal verlangt der Registrar stattdessen die DNSKEY-Daten (Flags / Algorithm / Public Key) – die sieht man im Panel auch. Welche Form akzeptiert wird, steht in der Doku des Registrars.

Verifikation

Nach dem Eintrag beim Registrar mit dig testen:

# DS-Records aus der Eltern-Zone abfragen
dig +dnssec +short example.com DS

# Resolver-Validierung sehen
dig +dnssec +adflag example.com SOA

# Online-Tool für eine vollständige Chain-Analyse
# https://dnsviz.net/d/example.com/dnssec/

Im Output von +adflag sollte das ad-Flag gesetzt sein („Authentic Data"). Erscheint stattdessen SERVFAIL, ist meist ein DS oder ein NSEC3-Setting falsch.

DNSSEC ausschalten

Korrekte Reihenfolge:

  1. DS-Records beim Registrar löschen.
  2. Mindestens eine TTL (typisch 24 h) warten, damit Caches sie vergessen.
  3. Im Panel im DNSSEC-Panel auf „Deaktivieren".

Schlüssel-Rotation

Im DNSSEC-Panel siehst du alle aktiven Keys mit Tag, Algorithmus und Status. Per Klick lassen sich:

  • Keys aktivieren / deaktivieren (typisch beim Rollover: neuen Key parallel aktiv schalten, alten erst Tage später entfernen).
  • Keys löschen.

Im Hintergrund läuft das alles über /api/v1/dnssec/<server>/<zone>/keys/.... Jede Aktion wird im Audit-Log mit action=KEY_ACTIVATE / KEY_DEACTIVATE / KEY_DELETE protokolliert.

NSEC vs NSEC3

PowerDNS verwendet beim Aktivieren standardmäßig NSEC. Wer NSEC3 (z. B. um Zone-Walking zu erschweren) braucht, kann das in den erweiterten Einstellungen pro Zone umschalten – entsprechende NSEC3PARAM-Records werden dann automatisch angelegt.

Häufige Fehler

SymptomUrsache
Resolver liefert SERVFAIL für die Zone.DS beim Registrar zeigt auf einen Key, den PowerDNS nicht (mehr) hat. Lösung: DS aus DNSKEY-Anzeige im Panel neu generieren und beim Registrar updaten.
DNSViz meldet „No DS records published".DS-Eintrag beim Registrar fehlt oder ist noch nicht propagiert. Warten oder Registrar nochmal speichern lassen.
RRSIG abgelaufen.PowerDNS signiert beim Schreiben automatisch nach. Wenn die Zone lange unverändert war und Auto-Signing aus ist, kann das passieren – einfach einen Record minimal ändern und zurückändern.
Hier ist noch kein Bild hinterlegt. Lege es unter src/assets/screenshots/<dateiname> ab und trage es in der Galerie-Liste ein.