🧩 DNSSEC-Validierung mit DANE und weiteren Tools
Obwohl DANE (DNS-based Authentication of Named Entities) eine wertvolle Sicherheitsebene bietet,
ist sie derzeit weniger verbreitet als klassische PKI-Mechanismen.
Du kannst mit folgenden Befehlen prüfen, ob deine DNSSEC-Konfiguration korrekt funktioniert.
🔎 Test einer Domain mit DNSSEC
dig @127.0.0.1 -p 5335 +dnssec +cd internet.nl
💡 Hinweis:
+dnssecfordert die Authentifizierung über DNSSEC an,
+cd(Checking Disabled) deaktiviert die DNSSEC-Prüfung,
damit jede Antwort – auch unsignierte – zurückgegeben wird.In der Ausgabe sollte das Flag
ad(Authenticated Data) erscheinen:;; flags: qr rd ra ad cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1Das
ad-Flag zeigt, dass die Antwort per DNSSEC verifiziert wurde.
🧪 Beispiel: Posteo.de (SOA-Eintrag prüfen)
dig posteo.de SOA +dnssec
💡 Erwartung:
Das Vorhandensein des Flagsadbestätigt,
dass die DNS-Antwort signiert und als authentisch gilt –
ein Hinweis auf korrekte DNSSEC-Konfiguration.
🔒 TLS-Validierung mit DANE
Zur Überprüfung von TLS-Zertifikaten über DANE:
ldns-dane -d verify posteo.de 443
Erwartete Ausgabe:
185.67.36.168 dane-validated successfully
185.67.36.169 dane-validated successfully
2a05:bc0:1000::168:1 dane-validated successfully
2a05:bc0:1000::169:1 dane-validated successfully
2a05:bc0:1000:80::168:1 dane-validated successfully
2a05:bc0:1000:80::169:1 dane-validated successfully
💡 Hinweis:
Die Webseite https://internet.nl
bietet ebenfalls eine komfortable Möglichkeit,
DNSSEC- und DANE-Validierungen grafisch zu testen.
📊 Fazit
Auch wenn DANE noch wenig verbreitet ist,
stellt es eine zusätzliche Sicherheitsebene dar,
indem TLS-Zertifikate direkt über DNSSEC validiert werden.
Für Umgebungen mit hohem Sicherheitsbedarf ist DANE
eine sinnvolle Ergänzung zu klassischen Zertifizierungsstellen.
🧠 Pi-hole-Integration abschließen
Konfiguriere Pi-hole, damit es deinen rekursiven DNS-Server (Unbound) nutzt:
Custom DNS (IPv4): 127.0.0.1#5335
Deaktiviere alle anderen Upstream-DNS-Server in den Pi-hole-Einstellungen.
💡 Hinweis:
Danach wird jede DNS-Anfrage direkt lokal über deinen
Unbound-Resolver mit DNSSEC-Validierung aufgelöst.
Du hast damit eine vollständig unabhängige,
datenschutzfreundliche DNS-Kette:
Client → Pi-hole → Unbound → Root-Server (IPv4 + IPv6)
✅ Zusammenfassung
| Schritt | Beschreibung |
|---|---|
| 1 | Unbound installiert und Log-/Config-Verzeichnisse erstellt |
| 2 | pi-hole.conf erstellt und Berechtigungen gesetzt |
| 3 | Root-Hints und Trust-Anchors geladen |
| 4 | Konfiguration geprüft (unbound-checkconf) |
| 5 | Dienst aktiviert und DNS-Funktion mit dig getestet |
| 6 | DNSSEC-Validierung erfolgreich geprüft |
🧩 Fazit:
Dein System nutzt nun einen lokalen, rekursiven, validierenden DNS-Resolver
mit Pi-hole 6 + Unbound unter EndeavourOS ARM –
unabhängig, sicher und ohne externe DNS-Dienste.