SSH-Host-Keys nicht mehr per Trust-on-First-Use pruefen, sondern aus dem DNS lesen: SSHFP-Records nach RFC 4255 erzeugen, in die Zone eintragen, VerifyHostKeyDNS aktivieren. Plus die DNSSEC-Pflichtkomponente und was zu beachten ist bei alten OpenSSH-Versionen.

GPG-Schluessel direkt als OPENPGPKEY-Record im DNS hinterlegen, ohne Keyserver-Abhaengigkeit oder Web-of-Trust. RFC 7929 erklaert, die SHA-256-Hash-Variante des Local-Part, ein Generator fuer den Record und warum DNSSEC die Voraussetzung ist. Plus Hinweis zur Recordgroesse.

Wer eine kleinere IP-Range als /24 hat (typisch beim Reseller mit /28 oder /29), kann keine eigene PTR-Zone betreiben. RFC 2317 loest das per CNAME-Delegation im /24 des Providers. Praxis-Walkthrough mit BIND-Zonenfiles auf beiden Seiten und der Standard-Stolperstein bei der Sub-Range-Notation.

Postfix-MTA mit DANE absichern: TLSA-Records nach RFC 7672, smtp_tls_security_level=dane, die "3 1 1"-Selector-Variante als langlebige Wahl, der DNSSEC-Stack als Grundvoraussetzung und Tools fuer die Pruefung. Plus eine Kurz-Erklaerung zu Untrusted vs Verified im Postfix-Log.

TLSA- und DANE-Records manuell pruefen mit OpenSSL, dig und hash-slinger. Fingerprint-Berechnung fuer Selector 0/1 und Matching-Type 0/1/2 durchgespielt. Nuetzlich wenn ein TLSA-Record nicht validiert und man wissen will warum.

DANE und TLSA-Records ermoeglichen TLS-Zertifikat-Schutz via DNSSEC, nicht ueber CA-Zertifikatsketten. Praktische OpenSSL-Befehle zum Hash erzeugen, dig zum Pruefen. Bei mir im Einsatz, funktioniert elegant.

DNSSEC-Anleitung: Trust-Chains, Zonen-Signierung mit BIND und dnssec-policy, DS-Records beim Registrar, Validierung mit dig. Warnung: TTL-Konflikte bei Aenderungen. Mit moderner BIND-Version (9.16+) gut zu handhaben.

SSH sollte Hostkeys via DNSSEC-gesicherten SSHFP-Records verifizieren. Fehler: systemd-resolved filterte das AD-Flag raus. Loesung: systemd-resolved weg, NetworkManager mit trust-ad Option. Jetzt funktioniert DNSSEC korrekt.

S/MIME-Zertifikate per DNS (SMIMEA, RFC 8162) veroeffentlichen. Schrieb zwei Python-Skripte dafuer: Generierung und Lookup mit OpenSSL-Integration. Bugs in bestehenden Tools gefunden: TYPE53, fehlende SHA256-Hashes. Jetzt automatisiert.

MTA-STS (RFC 8461) zwingt Mailserver zu verschluesselter Uebertragung. Konfiguration: DNS TXT-Record, Policy-Hosting, optionale TLS-Reports. Start im testing-Modus, dann auf enforce schalten. Pragmatischer als DANE.

Wenn ein Browser eine HTTPS-Verbindung aufbaut, braucht er normalerweise mehrere DNS-Lookups und Round-Trips, bevor er überhaupt weiß, welche Protokolle der Server unterstützt. Erst A/AAAA-Record abfragen, dann TCP-Verbindung, dann TLS-Handshake, dann Alt-Svc-Header parsen für HTTP/3. Das ist ineffizient und seit November 2023 gibt es mit RFC 9460 eine saubere Lösung dafür: den HTTPS Resource…

On May 5, 2026, DENIC published broken DNSSEC signatures for the .de TLD, making millions of domains unreachable. Here's what 1.1.1.1 saw, how serve stale cushioned the impact, and how we restored resolution.

Master every Cloudflare performance and security setting in one guide. Step-by-step recommendations for speed, caching, WAF, SSL/TLS, DDoS, and bots.

Source