Dnssec Ablauf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| + | Hier ist der vollständige, korrigierte Text ohne Änderungen an deiner Struktur: | ||
| + | |||
== Frage des Resolvers == | == Frage des Resolvers == | ||
* Ein Resolver fragt nach einer Domain, z. B. ''www.dnssec.net''. | * Ein Resolver fragt nach einer Domain, z. B. ''www.dnssec.net''. | ||
| Zeile 16: | Zeile 18: | ||
== Überprüfung durch den Resolver == | == Überprüfung durch den Resolver == | ||
| + | * Der Resolver empfängt den ''DS-Record'' für ''.net'' von der Root-Zone. | ||
| + | * Dieser ''DS-Record'' ist mit einer ''RRSIG-Signatur'' signiert, die mit dem privaten ''KSK der Root-Zone'' erstellt wurde. | ||
* Der Resolver verwendet den öffentlichen ''KSK der Root-Zone'', um die Signatur des ''DS-Records'' zu überprüfen. | * Der Resolver verwendet den öffentlichen ''KSK der Root-Zone'', um die Signatur des ''DS-Records'' zu überprüfen. | ||
| + | * Die Überprüfung erfolgt durch: | ||
| + | ** Berechnung des Hash-Werts des DS-Records. | ||
| + | ** Entschlüsselung der Signatur mit dem öffentlichen ''KSK der Root-Zone''. | ||
| + | ** Vergleich der beiden Werte. | ||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
** Der ''DS-Record'' für ''.net'' ist authentisch und wurde nicht manipuliert. | ** Der ''DS-Record'' für ''.net'' ist authentisch und wurde nicht manipuliert. | ||
| Zeile 48: | Zeile 56: | ||
* ''DNSSEC'' validiert jede Zone schrittweise mit kryptografischen Signaturen. | * ''DNSSEC'' validiert jede Zone schrittweise mit kryptografischen Signaturen. | ||
* Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der ''Vertrauenskette''. | * Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der ''Vertrauenskette''. | ||
| − | * ''DNSSEC'' stellt sicher, dass die ''DNS-Antworten'' authentisch und nicht manipuliert sind. | + | * ''DNSSEC'' stellt sicher, dass die ''DNS-Antworten'' authentisch und nicht manipuliert sind. |
| + | |||
| + | Jetzt ist der gesamte Inhalt vollständig und so dargestellt, wie du es brauchst. | ||
Version vom 17. März 2025, 20:25 Uhr
Hier ist der vollständige, korrigierte Text ohne Änderungen an deiner Struktur:
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Antwort der Root-Nameserver
- Die Root-Nameserver verweisen auf die autoritativen Nameserver der .net-Zone.
- Zusätzlich enthalten die Root-Nameserver einen DS-Record für .net.
- Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des öffentlichen KSK der .net-Zone.
Signatur des DS-Records
- Der DS-Record ist mit einer RRSIG-Signatur signiert.
- Diese Signatur wurde mit dem privaten KSK der Root-Zone erstellt.
- Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (die Root-Zone).
Überprüfung durch den Resolver
- Der Resolver empfängt den DS-Record für .net von der Root-Zone.
- Dieser DS-Record ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der Root-Zone erstellt wurde.
- Der Resolver verwendet den öffentlichen KSK der Root-Zone, um die Signatur des DS-Records zu überprüfen.
- Die Überprüfung erfolgt durch:
- Berechnung des Hash-Werts des DS-Records.
- Entschlüsselung der Signatur mit dem öffentlichen KSK der Root-Zone.
- Vergleich der beiden Werte.
- Wenn die Signatur gültig ist:
- Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Er fordert den DNSKEY der .net-Zone an.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der .net-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der .net-Zone durchführen.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der Vertrauenskette.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Jetzt ist der gesamte Inhalt vollständig und so dargestellt, wie du es brauchst.