Version vom 14. Februar 2023, 11:26 Uhr

Grundlegendes

DNSSEC schafft ein sicheres Domain Name System mit einer zusätzlichen Sicherheitsebene.
Dies wird erreicht indem kryptografische Signaturen zu bestehenden DNS-Einträgen hinzugefügt werden.
Diese digitalen Signaturen werden in DNS-Nameservern neben den üblichen Eintragstypen wie A, AAAA, MX, CNAME usw. gespeichert.
Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde
Es dient zu Schutz von Man-in-the-Middle-Angriffen.

RRSIG: enthält eine kryptographische Signatur
DNSKEY: enthält einen öffentlichen Signierschlüssel
DS: enthält den Hash eines DNSKEY-Eintrags
NSEC und NSEC3: für die explizite Anerkennung der Nicht-Existenz eines DNS-Eintrags
CDNSKEY und CDS: für eine untergeordnete Zone zur Anfrage von Aktualisierungen des DS-Eintrags/der DS-Einträge in der übergeordneten Zone.

Jede Zone in DNSSEC verfügt über ein Zone-Signing Key-Paar (ZSK)
Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRset in der Zone durch.
Der öffentliche Teil verifiziert die Signatur.

Der Zonenbetreiber muss auch seinen öffentlichen ZSK verfügbar machen, indem er ihn in einem DNSKEY-Eintrag zu seinem Nameserver hinzufügt.
Wenn nun ein Resolver einen Record-Typen angfragt, übergibt der Nameserver auch den öffentlichen Schlüssel des ZSK.

@@ Zeile 22: / Zeile 22: @@
 {{#drawio:Zone-Signing-Key-2}}
 ==Verifizierung==
-*Wenn nun die Prüfsumme gleich dem RRSet ist, ist der RRSet authentisch.
+*Wenn nun die Prüfsumme gleich dem RRSig ist, ist der RRSet authentisch.
 {{#drawio:Zone-Signing-Key-3}}
 =Quellen=
 https://www.cloudflare.com/de-de/dns/dnssec/how-dnssec-works/