Alternative Validierung der Domain: per einen DNS-Eintrag

17.06.2019 | Petra Alm

Die Verifizierung per einen DNS-Eintrag betrifft alle Domains, die in der Bestellung des Zertifikats aufgeführt sind. Die Verifizierung wird ausschließlich vonseiten eines Automaten durchgeführt und deshalb müssen die aufgestellten Regeln eingehalten werden. Und eben diesen ist der folgende Artikel gewidmet.

Ursprünglich veröffentlicht am 17. 6. 2019, aktualisiert am 9. 3. 2021  

Was ist ein DNS-Eintrag?

Der DNS-Eintrag stellt die Funktionalität der Domain sicher, wir können ihn uns als die Basis-Information der Domain vorstellen. Er sorgt für Weiterleitung von Domains und Subdomains auf die entsprechenden Server; ohne DNS müssten wir uns die IP-Adressen merken. Zum Beispiel anstatt von sslmarket.de müssten Sie in den Browser 217.198.113.27 einschreiben, was ziemlich unpraktisch wäre.

Dieses Domainnamen-System steht Ihnen bei jedem Domainregistrator zur Verfügung und ist einfach zu editieren, siehe den nächsten Absatz. Es gibt mehrere Typen der DNS-Einträge, die zu verschiedenen Zwecken dienen. Uns interessiert aber der Typ TXT, welcher verschiedene Informationen in der Textform ergänzt.

Einstellung des DNS-Eintrags und seine Form

Einen DNS-Eintrag vom Typ TXT können Sie über die Editierung der DNS-Einträge bei Ihrem Registrator einstellen. Es ist gut zu wissen, dass bei Registratoren die Hauptdomain nach zwei Prinzipien eingetragen werden kann. Entweder geben Sie in der Quelle die ganze Domain und den ganzen Eintrag an (zum Beispiel etwas.domain.de), oder Sie geben die Hauptdomain nicht an und anstatt dieser werden die Subdomain oder das Zeichen @ genutzt („etwas“ oder @ anstatt der Domain in Grundform).

Beachten Sie bitte, dass der Text für die Überprüfung (sog. Randomstring) nicht in Anführungszeichen gehört - diese werden für die Verifizierung nicht genutzt.

Den für die Verifizierung bestimmten TXT-Eintrag (random string) stellen Sie für die Hauptdomain (Basis-Domain) ein. Falls Sie in der Zone der Domain mehrere DNS-Einträge haben, können Sie den Verifizierungseintrag auch für die Subdomain _dnsauth einstellen und somit Kollisionen mit anderen DNS-Einträgen verhindern.

Nach der Einstellung des DNS-Eintrages wird dieser aktualisiert und in ein paar Minuten einsehbar. Die Zertifizierungsstelle ruft den DNS-Server, welcher zu der Domain zugeordnet ist, in kurzen Zeitabschnitten auf und den neuen Eintrag sieht sie somit ohne Verzug. Auf keinen Fall brauchen Sie auf die Erweiterung der DNS-Einträge wie bei üblichen Anpassungen der Domain zu warten.

Einstellung einer eigenen E-Mailadresse für Verifizierung in DNS

Diese neue Möglichkeit der Verifizierung kombiniert die Einstellung eines DNS-Eintrags und die Verifizierung per E-Mail. Es ist Ihnen bestimmt bekannt, dass bei der Verifizierung per E-Mail die Adressen genutzt werden müssen, auf welche die Verifizierungsmails standardmäßig abgesendet werden (admin, administrator…). Falls Sie aber auf der bestellten Domain keinen Postdienst aktiviert haben, können Sie neben dem oben angegebenen Verifizierungsstring in DNS Nutzung einer anderen E-Mailadresse für die Verifizierung autorisieren.

Der TXT-Eintrag in DNS ist in diesem Fall folgendermaßen einzustellen:

_validation-contactemail.domain.de IN TXT hans@gmx.de

Der Vorteil dieser Vorgehensweise besteht darin, dass die ausgewählte E-Mailadresse bei der Domain für immer eingestellt bleibt und dass die Verifizierungsmails auf diese Adresse automatisch abgesendet werden. Im Unterschied dazu muss der DNS-Verifizierungsstring für jede Bestellung des Zertifikats und seine Verlängerung eingestellt werden.

Überprüfung des DNS-Eintrages

Ob Sie den neuen DNS-Eintrag richtig erstellt haben, können Sie mit vielen Methoden testen. Für die Mehrheit der Nutzer ist die einfachste Methode online, mit Diensten wie Dig (DNSlookup) von Google, oder Dig web interface, die neben der DNS-Überprüfung auch weitere, mehr fortgeschrittene Funktionen anbieten. Diese Webtools werden Ihnen das Ergebnis augenblicklich nach der Anfrage anzeigen.

Falls Sie Linux, Unix oder MacOS nutzen, können Sie das Programm Dig probieren. Es wird in dem Terminal einfach über den Befehl dig A domain.de aufgerufen, dem Befehl dig folgt die Konkretisierung, was für einen DNS-Eintrag Sie sehe möchten, also ob A, CNAME, TXT, MX, usw.

Nach der Aktivierung des Befehles erhalten Sie gleich die Antwort:

;; ANSWER SECTION: domain.de. 158 IN A 77.75.79.53 
;; Query time: 2 msec 
;; SERVER: 127.0.0.53#53(127.0.0.53) 
;; WHEN: Thu Jan 31 09:11:02 CET 2019 
;; MSG SIZE rcvd: 54

Wenn Sie einen neu eingestellten TXT-Eintrag überprüfen, dann sehen Sie rechts den Text für die Verifizierung – den Randomstring. Die Anführungszeichen werden nur in der Antwort angezeigt und stellen keinen Teil des Eintrages dar.

;; ANSWER SECTION: domain.de. 3600 IN TXT "drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd"

Bei Schwierigkeiten kontaktieren Sie den Kundensupport

In Ausnahmefällen kann es zur Kollision zwischen den Einträgen oder zu einem anderen Problem kommen, wegen welches die Verifizierung nicht abgeschlossen werden muss. Wir empfehlen Ihnen, 1-2 Stunden zu warten und falls das Zertifikat nicht verifiziert und ausgestellt wird, den Kundensupport zu kontaktieren.