DNSSEC ist die Erweiterung des DNS-Protokolls, die die Signierung von DNS-Daten ermöglicht, um die Sicherheit bei der Auflösung von Domainnamen zu gewährleisten. Allgemeine Informationen zu DNSSEC und der Nutzung finden Sie auf der ICANN-Website und unter https://tools.ietf.org/html/rfc6781.
In Plesk können Sie die DNS-Daten von gehosteten Domains mithilfe von DNSSEC schützen. Ihnen stehen folgende Optionen zur Verfügung:
Um die Unterstützung von DNSSEC zu aktivieren, installieren Sie die Erweiterung Plesk DNSSEC unter Erweiterungen > Katalog der Erweiterungen.
Die DNSSEC-Standardeinstellungen finden Sie unter Tools & Einstellungen > Erweiterungen > DNSSEC. Sie können die Standardrichtlinie für die Erstellung von Schlüsselsignaturschlüsseln (Key Signing Key, KSK) und Zonensignaturschlüsseln (Zone Signing Key, ZSK) ändern.
Die empfohlene Richtlinie für KSK und ZSK:
Bei jedem Update des KSK muss der Zoneninhaber die DS-Einträge in der übergeordneten Domainzone aktualisieren. Dank der empfohlenen Richtlinie können DS-Einträge in der übergeordneten Zone so selten wie möglich aktualisiert werden, ohne dabei die Sicherheit zu verringern.
Der Zonensignaturschlüssel (ZSK) wird automatisch aktualisiert. Mit der empfohlenen Richtlinie können Sie Systemressourcen einsparen, ohne dabei die Sicherheit einzuschränken.
Wenn Hosting-Kunden ihre Zone signieren, können sie die Standardwerte verwenden oder andere Werte angeben. Weitere Details finden Sie unter Verwenden von DNSSEC auf Domains.
Um DNSSEC zu verwenden, müssen Domaininhaber ihre DNS-Zonen signieren. Weitere Details finden Sie unter Verwenden von DNSSEC auf Domains.
Um den DNS-Ausfall für eine Domain zu verhindern, werden in Plesk nicht nur ein KSK und ZSK verwendet. Ein zuvor generierter Schlüssel ist neben dem neuen Schlüssel für einige Zeit vorhanden, damit alle Änderungen in einer DNS-Zone umgesetzt werden. Obsolete Schlüssel werden automatisch entfernt.
KSK-Rollover
In Plesk wird eine Variante der Methode Double-RRset für das KSK-Rollover eingesetzt. Der Unterschied zur ursprünglichen Methode liegt darin, dass in Plesk zwei Schlüsselsignaturschlüssel in der Rollover-Phase vorhanden sind. Dadurch hat der Inhaber der Domainzone genug Zeit, die entsprechenden DS-Einträge in der übergeordneten Zone zu aktualisieren (z. B. die Zeitspanne zwischen Rollover-Ereignis 1 und 2 im Schema unten).
Benutzeraktionen beim KSK-Rollover
Der Domainzoneninhaber wird über das Rollover informiert und darauf hingewiesen, dass er die DS-Einträge in der übergeordneten Zone aktualisieren muss. Die DS-Einträge werden obsolet, wenn der älteste KSK abläuft und der neueste KSK generiert wird (z. B. beim Rollover-Ereignis 2 im Schema unten). Wenn der Domainzoneninhaber die DS-Einträge in der übergeordneten Zone nicht aktualisiert, wird am Ende einer Rollover-Phase nach einer Benachrichtigung die Auflösung angehalten.
Hinweis: Der Text der Benachrichtigung für den Domain-Zoneninhaber kann derzeit nicht angepasst werden.
ZSK-Rollover
Um genug Zeit für die Synchronisierung von DNS-Slave-Server und DNS-Caching-Server mit dem DNS-Masterserver zu erlauben, wird in Plesk Folgendes durchgeführt:
Die Zeitspanne vor und nach dem ZSK-Rollover wird in Plesk Übergangszeitraum genannt. Der Übergangszeitraum ist entweder 30 Tage oder die Summe der SOA TTL- und SOA Expire-Werte der Zone (falls die Summe über 30 Tage liegt). Der Übergangszeitraum kann jedoch nicht länger sein als die halbe ZSK-Rollover-Dauer, da die Rollover-Funktion sonst unterbrochen wird und die Zonensignaturen ungültig werden.
Um sicherzustellen, dass das ZSK-Rollover korrekt durchgeführt wird, legt Plesk Grenzwerte für die folgenden Werte fest:
Benutzeraktionen beim ZSK-Rollover
Beim ZSK-Rollover müssen die Inhaber der Domain-DNS-Zonen nicht eingreifen.
If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.