Dnssec Ablauf 1: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 6: | Zeile 6: | ||
* Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone und stellt sicher, dass die .net-Zone autoritativ und unverfälscht ist. | * Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone und stellt sicher, dass die .net-Zone autoritativ und unverfälscht ist. | ||
| − | == | + | == Der DS-Record hat eine RRSIG-Signatur == |
* Der DS-Record ist mit einer '''RRSIG''' (Resource Record Signature) signiert. | * Der DS-Record ist mit einer '''RRSIG''' (Resource Record Signature) signiert. | ||
* Diese Signatur wird mit dem privaten '''ZSK''' (Zone Signing Key) der Root-Zone erstellt. | * Diese Signatur wird mit dem privaten '''ZSK''' (Zone Signing Key) der Root-Zone erstellt. | ||
| Zeile 14: | Zeile 14: | ||
** Den Namen des Signers (in diesem Fall die Root-Zone). | ** Den Namen des Signers (in diesem Fall die Root-Zone). | ||
| − | == | + | == Der Resolver nutzt den öffentlichen ZSK der Root-Zone == |
* Der Resolver (der DNS-Server, der die Anfrage bearbeitet) verwendet den öffentlichen '''ZSK''' der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen. | * Der Resolver (der DNS-Server, der die Anfrage bearbeitet) verwendet den öffentlichen '''ZSK''' der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen. | ||
* Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet, um die Authentizität der Signatur zu bestätigen. | * Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet, um die Authentizität der Signatur zu bestätigen. | ||
| − | == | + | == Überprüfung der Signatur == |
* Der Resolver überprüft die RRSIG-Signatur, indem er: | * Der Resolver überprüft die RRSIG-Signatur, indem er: | ||
** Den Hashwert des DS-Records berechnet. | ** Den Hashwert des DS-Records berechnet. | ||
| Zeile 27: | Zeile 27: | ||
** Die DNSSEC-Vertrauenskette ist intakt. | ** Die DNSSEC-Vertrauenskette ist intakt. | ||
| − | == | + | == Weiterführung der DNSSEC-Kette == |
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | ||
* Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen. | * Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen. | ||
Version vom 17. März 2025, 19:59 Uhr
Validierung des DS-Records für .net
Der Root-Nameserver liefert den DS-Record für .net
- Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der übergeordneten Zone (der Root-Zone) gespeichert ist.
- Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone.
- Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone und stellt sicher, dass die .net-Zone autoritativ und unverfälscht ist.
Der DS-Record hat eine RRSIG-Signatur
- Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert.
- Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt.
- Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (in diesem Fall die Root-Zone).
Der Resolver nutzt den öffentlichen ZSK der Root-Zone
- Der Resolver (der DNS-Server, der die Anfrage bearbeitet) verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen.
- Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet, um die Authentizität der Signatur zu bestätigen.
Überprüfung der Signatur
- Der Resolver überprüft die RRSIG-Signatur, indem er:
- Den Hashwert des DS-Records berechnet.
- Die Signatur mit dem öffentlichen ZSK der Root-Zone entschlüsselt.
- Die beiden Werte vergleicht.
- Wenn die Signatur gültig ist:
- Der DS-Record ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette ist intakt.
Weiterführung der DNSSEC-Kette
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen.
- Dieser Prozess wiederholt sich für jede Zone in der DNS-Hierarchie, bis die vollständige DNSSEC-Kette validiert ist.
Zusammenfassung
Die Validierung des DS-Records für .net ist ein zentraler Schritt in der DNSSEC-Vertrauenskette. Sie stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind, indem kryptografische Signaturen und öffentliche Schlüssel verwendet werden.