· Mehdi Aroui · managed-it  · 3 min read

DNS-Schlüsseltausch: Was Administratoren beachten müssen

DNSSEC sichert DNS-Antworten kryptografisch. Wer DNS-Resolver betreibt oder auf DNSSEC-validierte Zonen angewiesen ist, muss beim Tausch des Root-Schlüssels aktiv werden, sonst drohen Auflösungsfehler.

DNSSEC sichert DNS-Antworten kryptografisch. Wer DNS-Resolver betreibt oder auf DNSSEC-validierte Zonen angewiesen ist, muss beim Tausch des Root-Schlüssels aktiv werden, sonst drohen Auflösungsfehler.

Historischer Kontext (Stand Mai 2026): Dieser Artikel beschreibt den DNSSEC-Root-KSK-Rollover vom Oktober 2018 als historisches Ereignis. Die beschriebene Problematik ist abgeschlossen. Aktuelle DNSSEC-Empfehlungen finden Sie am Ende des Artikels.

Was DNS ist und warum DNSSEC dazu gehört

Das Domain Name System (DNS) übersetzt Domainnamen in IP-Adressen und bildet damit die Grundlage jeder Netzwerkkommunikation. Standard-DNS liefert Antworten ohne Integritätsnachweis. DNSSEC erweitert das Protokoll um digitale Signaturen: Resolver können prüfen, ob eine DNS-Antwort von einem autorisierten Nameserver stammt und nicht manipuliert wurde.

Was ein Root-KSK-Rollover bedeutet

ICANN, die Organisation hinter dem Root-DNS, betreibt einen kryptografischen Hauptschlüssel (Key Signing Key, KSK), der die gesamte DNSSEC-Vertrauenskette absichert. Dieser Schlüssel wird periodisch ausgetauscht (Rollover), um die Sicherheit zu erhalten.

Der erste öffentliche Root-KSK-Rollover fand am 11. Oktober 2018 statt. Administratoren, die validierenden Resolver betreiben und deren Systeme den alten Schlüssel hartcodiert oder nicht automatisch aktualisiert hatten, erhielten nach dem Rollover Auflösungsfehler für alle DNSSEC-gesicherten Domains.

Wer handeln muss

Betroffen sind Administratoren, die:

  • einen eigenen validierenden DNS-Resolver betreiben (BIND, Unbound, Windows DNS mit DNSSEC-Validierung)
  • den alten KSK manuell als Trust Anchor hinterlegt haben
  • keine automatische Trust-Anchor-Aktualisierung (RFC 5011) aktiviert haben

Wer ausschließlich die DNS-Resolver des Internetanbieters oder Hoster nutzt, ist in der Regel nicht direkt betroffen.

Vorsichtsmaßnahmen

1. Resolver-Konfiguration prüfen

Validiert der Resolver aktiv? BIND-Beispiel:

named-checkconf -p | grep dnssec-validation

Erwarteter Wert: yes oder auto.

2. Trust Anchor auf Aktualität prüfen

Bei BIND liegt der Trust Anchor in named.conf oder einer separaten bind.keys-Datei. Sicherstellen, dass der neue KSK enthalten ist.

3. Automatische Aktualisierung aktivieren

RFC 5011 beschreibt einen Mechanismus, mit dem Resolver neue Trust Anchors automatisch übernehmen. In aktuellen BIND- und Unbound-Versionen ist dieser Mechanismus standardmäßig aktiv, sofern managed-keys korrekt konfiguriert ist.

4. Monitoring einrichten

Nach einem Rollover DNS-Auflösungsfehler aktiv überwachen:

  • Fehlercodes SERVFAIL in Resolver-Logs gezielt auswerten
  • Externe DNS-Monitoring-Dienste nutzen, die DNSSEC-Validierung testen
  • Event-Log auf Windows-DNS-Servern auf DNSSEC-Ereignisse prüfen

Lessons Learned

Der Root-KSK-Rollover 2018 verlief für vorbereitete Systeme ohne Unterbrechung. Systeme ohne automatische Trust-Anchor-Aktualisierung fielen nach dem Rollover für DNSSEC-validierte Domains aus. Das Muster wird sich bei künftigen Rollovern wiederholen: Wer DNS-Infrastruktur betreibt, muss den Wartungszyklus dieser Systeme kennen und einplanen.

Netzleiter überprüft DNS-Konfigurationen im Rahmen der IT-Infrastruktur-Wartung und richtet Monitoring auf DNS-Verfügbarkeit und DNSSEC-Validierung ein. Fragen an die Hotline: 040 25 499 500.

Aktuelle DNSSEC-Empfehlungen (Stand 2026)

DNSSEC ist etabliert und für alle produktiven Domains empfehlenswert. Konkrete Maßnahmen für KMU:

Eigene Domains DNSSEC-signieren. Die meisten Domain-Registrare und DNS-Hoster (IONOS, Strato, Cloudflare, Hetzner) bieten DNSSEC-Aktivierung per Klick an. Einmal eingerichtet, läuft DNSSEC automatisch.

Resolver mit DNSSEC-Validierung nutzen. Cloudflare DNS (1.1.1.1) und Google Public DNS (8.8.8.8) validieren DNSSEC-Signaturen. Wer eigene Resolver betreibt, sollte die RFC-5011-konforme automatische Trust-Anchor-Aktualisierung aktiviert haben.

DNS over HTTPS (DoH) oder DNS over TLS (DoT) ergänzen. Diese Protokolle verschlüsseln DNS-Abfragen und verhindern Man-in-the-Middle-Einblicke auf Netzwerkebene. Windows 11 unterstützt DoH nativ in den Netzwerkeinstellungen.

DNSSEC-Monitoring. Tools wie dnsviz.net oder Zonemaster prüfen kostenlos, ob DNSSEC einer Domain korrekt konfiguriert ist. Empfehlung: einmal jährlich prüfen, nach Registrar-Wechsel erneut prüfen.

    Share:
    Back to Blog

    Related Posts

    View All Posts »
    Windows 11 installieren und härten: Leitfaden

    Windows 11 installieren und härten: Leitfaden

    Von UEFI-Partitionierung über BitLocker bis GPO-Härtung: dieser Leitfaden zeigt, wie Windows 11 Pro und Enterprise in Active-Directory-Umgebungen sicher und wartungsarm eingerichtet wird.