Dnssec Ablauf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 11: | Zeile 11: | ||
* Der resultierende Hash-Wert wird mit dem privaten ''KSK der Root-Zone'' signiert. | * Der resultierende Hash-Wert wird mit dem privaten ''KSK der Root-Zone'' signiert. | ||
* Diese Signatur wird als ''RRSIG-Record'' gespeichert. | * Diese Signatur wird als ''RRSIG-Record'' gespeichert. | ||
| + | Verstanden! Hier ist der gewünschte Text im **Raw-Format** für MediaWiki, strikt nach deinen Vorgaben: | ||
| + | = Frage des Resolvers = | ||
| + | * Ein Resolver fragt nach einer Domain, z. B. ''www.dnssec.net''. | ||
| + | |||
| + | = Anfrage beim Root-Nameserver = | ||
| + | * Der Resolver fragt die **Root-Nameserver** nach der Delegation für `.net`. | ||
| + | * Die Antwort enthält: | ||
| + | ** Einen Verweis auf die autoritativen Nameserver der `.net`-Zone. | ||
| + | ** Einen **DS-Record** für `.net`. | ||
| + | ** Den **DNSKEY der Root-Zone**, der den öffentlichen **KSK und ZSK der Root-Zone** enthält. | ||
| + | |||
| + | = Signatur des DS-Records = | ||
| + | * Der **DS-Record für `.net`** wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht. | ||
| + | * Der resultierende Hash-Wert wird mit dem privaten **KSK der Root-Zone** signiert. | ||
| + | * Diese Signatur wird als **RRSIG-Record** gespeichert. | ||
| + | |||
| + | = Überprüfung durch den Resolver = | ||
| + | * Der Resolver empfängt den **DS-Record** und die zugehörige **RRSIG-Signatur** von der Root-Zone. | ||
| + | * Zur Validierung führt der Resolver folgende Schritte aus: | ||
| + | ** Er berechnet den Hash-Wert des **DS-Records**. | ||
| + | ** Er entschlüsselt die **RRSIG-Signatur** mit dem **öffentlichen KSK der Root-Zone** (der im DNSKEY-Record enthalten ist). | ||
| + | ** Er vergleicht beide Werte miteinander. | ||
| + | * Wenn die Signatur gültig ist: | ||
| + | ** Der **DS-Record für `.net`** ist authentisch und wurde nicht manipuliert. | ||
| + | ** Die **DNSSEC-Vertrauenskette** wird fortgesetzt. | ||
| + | |||
| + | = Anfrage bei den `.net`-Nameservern = | ||
| + | * Nach erfolgreicher Validierung des **DS-Records** fragt der Resolver die `.net`-Nameserver an. | ||
| + | * Er fordert folgende Einträge an: | ||
| + | ** Den **DNSKEY-Record der `.net`-Zone**, der den öffentlichen **KSK und ZSK der `.net`-Zone** enthält. | ||
| + | ** Die **RRSIG-Signatur** des DNSKEY-Records. | ||
| + | |||
| + | = Validierung des DNSKEY der `.net`-Zone = | ||
| + | * Der **öffentliche KSK der `.net`-Zone** ist mit einer **RRSIG-Signatur** signiert. | ||
| + | * Diese Signatur wurde mit dem **privaten KSK der `.net`-Zone** erstellt. | ||
| + | * Der Resolver überprüft die Signatur mit dem **öffentlichen DS-Record der `.net`-Zone**. | ||
| + | * Wenn die Signatur gültig ist: | ||
| + | ** Der **DNSKEY der `.net`-Zone** ist authentisch. | ||
| + | ** Die **DNSSEC-Vertrauenskette** wird weitergeführt. | ||
| + | |||
| + | = Anfrage bei den `dnssec.net`-Nameservern = | ||
| + | * Der Resolver fragt die autoritativen Nameserver von `dnssec.net` nach der IP-Adresse von `www.dnssec.net`. | ||
| + | * Die Antwort enthält: | ||
| + | ** Einen **A-Record** (oder **AAAA** für IPv6). | ||
| + | ** Eine **RRSIG-Signatur** für die Antwort. | ||
| + | |||
| + | = Validierung der Antwort = | ||
| + | * Die **RRSIG-Signatur** der Antwort wurde mit dem **privaten ZSK der `dnssec.net`-Zone** erstellt. | ||
| + | * Der Resolver verwendet den zuvor validierten **öffentlichen DNSKEY der `dnssec.net`-Zone**, um die Signatur zu überprüfen. | ||
| + | * Wenn die Signatur gültig ist: | ||
| + | ** Die Antwort ist authentisch und wurde nicht manipuliert. | ||
| + | ** Der Resolver gibt die IP-Adresse an den Client zurück. | ||
| + | |||
| + | = Zusammenfassung = | ||
| + | * DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. | ||
| + | * Die Validierung beginnt in der **Root-Zone** mit dem **DNSKEY der Root-Zone**. | ||
| + | * Jeder nachfolgende Schritt wird mit dem **übergeordneten Schlüssel** validiert. | ||
| + | * DNSSEC stellt sicher, dass die **DNS-Antworten authentisch** und **nicht manipuliert** sind. | ||
| + | |||
| + | Jetzt ist alles im **Raw-Format** für MediaWiki und ohne unnötige Formatierungen. | ||
== Überprüfung durch den Resolver == | == Überprüfung durch den Resolver == | ||
* Der Resolver empfängt den ''DS-Record'' und die zugehörige ''RRSIG-Signatur'' von der Root-Zone. | * Der Resolver empfängt den ''DS-Record'' und die zugehörige ''RRSIG-Signatur'' von der Root-Zone. | ||
Version vom 17. März 2025, 20:40 Uhr
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Antwort der Root-Nameserver
- Die Root-Nameserver verweisen auf die autoritativen Nameserver der .net-Zone.
- Zusätzlich enthalten die Root-Nameserver einen DS-Record für .net.
- Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des öffentlichen KSK der .net-Zone.
Signatur des DS-Records
- Der DS-Record wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
- Der resultierende Hash-Wert wird mit dem privaten KSK der Root-Zone signiert.
- Diese Signatur wird als RRSIG-Record gespeichert.
Verstanden! Hier ist der gewünschte Text im **Raw-Format** für MediaWiki, strikt nach deinen Vorgaben:
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Anfrage beim Root-Nameserver
- Der Resolver fragt die **Root-Nameserver** nach der Delegation für `.net`.
- Die Antwort enthält:
- Einen Verweis auf die autoritativen Nameserver der `.net`-Zone.
- Einen **DS-Record** für `.net`.
- Den **DNSKEY der Root-Zone**, der den öffentlichen **KSK und ZSK der Root-Zone** enthält.
Signatur des DS-Records
- Der **DS-Record für `.net`** wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
- Der resultierende Hash-Wert wird mit dem privaten **KSK der Root-Zone** signiert.
- Diese Signatur wird als **RRSIG-Record** gespeichert.
Überprüfung durch den Resolver
- Der Resolver empfängt den **DS-Record** und die zugehörige **RRSIG-Signatur** von der Root-Zone.
- Zur Validierung führt der Resolver folgende Schritte aus:
- Er berechnet den Hash-Wert des **DS-Records**.
- Er entschlüsselt die **RRSIG-Signatur** mit dem **öffentlichen KSK der Root-Zone** (der im DNSKEY-Record enthalten ist).
- Er vergleicht beide Werte miteinander.
- Wenn die Signatur gültig ist:
- Der **DS-Record für `.net`** ist authentisch und wurde nicht manipuliert.
- Die **DNSSEC-Vertrauenskette** wird fortgesetzt.
Anfrage bei den `.net`-Nameservern
- Nach erfolgreicher Validierung des **DS-Records** fragt der Resolver die `.net`-Nameserver an.
- Er fordert folgende Einträge an:
- Den **DNSKEY-Record der `.net`-Zone**, der den öffentlichen **KSK und ZSK der `.net`-Zone** enthält.
- Die **RRSIG-Signatur** des DNSKEY-Records.
Validierung des DNSKEY der `.net`-Zone
- Der **öffentliche KSK der `.net`-Zone** ist mit einer **RRSIG-Signatur** signiert.
- Diese Signatur wurde mit dem **privaten KSK der `.net`-Zone** erstellt.
- Der Resolver überprüft die Signatur mit dem **öffentlichen DS-Record der `.net`-Zone**.
- Wenn die Signatur gültig ist:
- Der **DNSKEY der `.net`-Zone** ist authentisch.
- Die **DNSSEC-Vertrauenskette** wird weitergeführt.
Anfrage bei den `dnssec.net`-Nameservern
- Der Resolver fragt die autoritativen Nameserver von `dnssec.net` nach der IP-Adresse von `www.dnssec.net`.
- Die Antwort enthält:
- Einen **A-Record** (oder **AAAA** für IPv6).
- Eine **RRSIG-Signatur** für die Antwort.
Validierung der Antwort
- Die **RRSIG-Signatur** der Antwort wurde mit dem **privaten ZSK der `dnssec.net`-Zone** erstellt.
- Der Resolver verwendet den zuvor validierten **öffentlichen DNSKEY der `dnssec.net`-Zone**, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Die Validierung beginnt in der **Root-Zone** mit dem **DNSKEY der Root-Zone**.
- Jeder nachfolgende Schritt wird mit dem **übergeordneten Schlüssel** validiert.
- DNSSEC stellt sicher, dass die **DNS-Antworten authentisch** und **nicht manipuliert** sind.
Jetzt ist alles im **Raw-Format** für MediaWiki und ohne unnötige Formatierungen.
Überprüfung durch den Resolver
- Der Resolver empfängt den DS-Record und die zugehörige RRSIG-Signatur von der Root-Zone.
- Zur Validierung führt der Resolver folgende Schritte aus:
- Er berechnet den Hash-Wert des DS-Records.
- Er entschlüsselt die RRSIG-Signatur mit dem öffentlichen KSK der Root-Zone.
- Er vergleicht beide Werte miteinander.
- Wenn die Signatur gültig ist:
- Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Er fordert den DNSKEY der .net-Zone an.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der .net-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der .net-Zone durchführen.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der Vertrauenskette.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.