DNSSEC und Registratoren verwenden

Auf dieser Seite wird beschrieben, wie Sie DNSSEC (Domain Name System Security Extensions) bei Ihrem Domain-Registrator aktivieren und deaktivieren.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

DNSSEC bei Ihrem Domainregistrator aktivieren

Nach der Aktivierung von DNSSEC für Ihre Zone muss DNSSEC bei Ihrem Registrator aktiviert werden. Zur Aktivierung von DNSSEC erstellen Sie in der übergeordneten Zone für Ihre Domain einen DS-Eintrag, damit Resolver wissen, dass Ihre Domain DNSSEC-aktiviert ist und deren Daten überprüft werden können. Registratoren haben für das Erstellen dieses DS-Eintrags unterschiedliche Verfahren. Viele Registratoren verwenden ein Websiteformular.

Anleitungen für Domain-Registratoren finden Sie in der Google Cloud Community-Anleitung unter DNSSEC für Cloud DNS-Domains aktivieren.

Testen Sie die DNS-Konfiguration gründlich, bevor Sie DNSSEC für wichtige Domains aktivieren. Nachdem Sie DNSSEC aktiviert haben, kann es 24 Stunden oder länger dauern, es zu deaktivieren, wenn dies aufgrund von Übertragungsverzögerungen und des Resolver-Cachings nötig wird.

DNSSEC bei Ihrem Domainregistrator deaktivieren

Bevor Sie DNSSEC für eine verwaltete Zone deaktivieren, die Sie weiterhin verwenden möchten, muss DNSSEC für Ihre Zone bei Ihrem Domain-Registrator deaktiviert werden. Dies ist erforderlich, damit DNSSEC-validierende Resolver weiterhin Namen in der Zone auflösen können.

Zum Deaktivieren von DNSSEC entfernen Sie alle DS-Einträge für Ihre Domain aus der übergeordneten Zone, sodass Resolver nicht mehr versuchen, Ihre Domaindaten mit DNSSEC zu validieren. Registratoren haben für das Entfernen dieser DS-Datensätze ein anderes Verfahren. Viele Registratoren verwenden ein Websiteformular.

Anleitungen für Domain-Registratoren finden Sie in der Google Cloud Community-Anleitung unter DNSSEC für Cloud DNS-Domains aktivieren.

Nachdem die DS-Einträge vom Registrator entfernt wurden, müssen Sie warten, bis der DS-Eintrag an alle Resolver weitergegeben wurde, bevor Sie DNSSEC für die Zone deaktivieren. Dies kann je nach der vom Registrator oder von der Registry verursachten Latenz oder dem Resolver-Caching 24 Stunden oder länger dauern.

Sobald DS-Einträge für Resolver nicht mehr sichtbar sind, können Sie DNSSEC für die Zone deaktivieren.

Nächste Schritte

  • Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
  • Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.