Dnssec Ablauf: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
Hier ist die überarbeitete Version mit den Korrekturen und einer etwas klareren Struktur: 
+
 
  
 
== Frage des Resolvers ==   
 
== Frage des Resolvers ==   

Version vom 17. März 2025, 20:18 Uhr


Frage des Resolvers

  • Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.

Antwort der Root-Nameserver

  • Die Root-Nameserver verweisen auf die autoritativen Nameserver der `.net`-Zone.
  • Zusätzlich enthalten die Root-Nameserver einen **DS-Record** für `.net`.
  • Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des **öffentlichen KSK der `.net`-Zone**.

Signatur des DS-Records

  • Der DS-Record ist mit einer **RRSIG-Signatur** signiert.
  • Diese Signatur wurde mit dem **privaten KSK der Root-Zone** erstellt.
  • Die RRSIG enthält Metadaten wie:
    • Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
    • Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
    • Den Namen des Signers (die Root-Zone).

Überprüfung durch den Resolver

  • Der Resolver verwendet den **öffentlichen KSK der Root-Zone**, um die Signatur des DS-Records zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Der DS-Record für `.net` ist authentisch und wurde nicht manipuliert.
    • Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den `.net`-Nameservern

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die `.net`-Nameserver an.
  • Er fordert den **DNSKEY der `.net`-Zone** an.

Validierung des DNSKEY der `.net`-Zone

  • Der DNSKEY der `.net`-Zone ist mit einer **RRSIG-Signatur** signiert, die mit dem **privaten KSK der `.net`-Zone** erstellt wurde.
  • Der Resolver überprüft die Signatur mit dem **öffentlichen KSK der `.net`-Zone**.
  • Wenn die Signatur gültig ist:
    • Der DNSKEY der `.net`-Zone ist authentisch.
    • Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der `.net`-Zone durchführen.

Anfrage bei den `dnssec.net`-Nameservern

  • Der Resolver fragt die autoritativen Nameserver von `dnssec.net` nach der IP-Adresse von `www.dnssec.net`.
  • Die Antwort enthält:
    • Einen A-Record (oder AAAA für IPv6).
    • Eine RRSIG-Signatur für die Antwort.

Validierung der Antwort

  • Die RRSIG-Signatur der Antwort wurde mit dem **privaten ZSK der `dnssec.net`-Zone** erstellt.
  • Der Resolver verwendet den zuvor validierten **öffentlichen DNSKEY der `dnssec.net`-Zone**, um die Signatur zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

  • DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
  • Der Resolver überprüft jede Signatur anhand des **jeweils übergeordneten Schlüssels** in der Vertrauenskette.
  • DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf&oldid=60206