Dnssec Ablauf 1: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | = Validierung | + | = DNSSEC-Validierung für dnssec.net = |
| − | == | + | == Einleitung == |
| − | * | + | * DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten. |
| + | * Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain. | ||
| − | == | + | == Anfrage beim Root-Nameserver == |
| − | * Der | + | * Der Resolver fragt die Root-Nameserver nach der Delegation für .net. |
| − | * | + | * Die Antwort enthält: |
| − | * | + | ** Einen Verweis auf die autoritativen Nameserver der .net-Zone. |
| + | ** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). | ||
| + | ** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde. | ||
| + | ** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ||
| − | == | + | == Validierung des DS-Records == |
| − | * Der DS-Record | + | * Der Resolver validiert den DS-Record, indem er: |
| − | + | ** Den Hash-Wert des DS-Records berechnet. | |
| − | + | ** Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert. | |
| − | ** Den | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | * | ||
| − | |||
| − | |||
| − | * | ||
| − | |||
| − | |||
| − | |||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
| − | ** Der DS-Record | + | ** Der DS-Record wird als authentisch betrachtet. |
| − | ** Die DNSSEC-Vertrauenskette | + | ** Die DNSSEC-Vertrauenskette wird fortgesetzt. |
== Anfrage bei den .net-Nameservern == | == Anfrage bei den .net-Nameservern == | ||
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | ||
| − | * Der Resolver fordert den DNSKEY der .net-Zone an, | + | * Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält. |
| + | * Der Resolver überprüft die Signatur des DNSKEY-Records mit dem öffentlichen KSK der Root-Zone. | ||
== Validierung des DNSKEY der .net-Zone == | == Validierung des DNSKEY der .net-Zone == | ||
| − | * Der DNSKEY der .net-Zone ist mit einer RRSIG signiert, die mit dem privaten KSK | + | * Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde. |
| − | * Der Resolver | + | * Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone. |
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
| − | ** Der DNSKEY ist authentisch. | + | ** Der DNSKEY der .net-Zone ist authentisch. |
| − | ** | + | ** Die DNSSEC-Vertrauenskette wird fortgesetzt. |
== Anfrage bei den dnssec.net-Nameservern == | == Anfrage bei den dnssec.net-Nameservern == | ||
| − | * Der Resolver fragt die Nameserver | + | * Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net. |
| − | * Die Antwort | + | * Die Antwort enthält: |
| − | * Der Resolver verwendet den öffentlichen | + | ** Einen A-Record (oder AAAA für IPv6). |
| + | ** Eine RRSIG-Signatur für die Antwort. | ||
| + | |||
| + | == Validierung der Antwort == | ||
| + | * Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt. | ||
| + | * Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen. | ||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
** Die Antwort ist authentisch und wurde nicht manipuliert. | ** Die Antwort ist authentisch und wurde nicht manipuliert. | ||
| − | ** Der Resolver | + | ** Der Resolver gibt die IP-Adresse an den Client zurück. |
== Zusammenfassung == | == Zusammenfassung == | ||
| − | * Die Validierung | + | * DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. |
| − | * | + | * Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone. |
| + | * Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert. | ||
* DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | * DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | ||
Aktuelle Version vom 17. März 2025, 21:29 Uhr
DNSSEC-Validierung für dnssec.net
Einleitung
- DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
- Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.
Anfrage beim Root-Nameserver
- Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
- Die Antwort enthält:
- Einen Verweis auf die autoritativen Nameserver der .net-Zone.
- Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone).
- Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
- Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
Validierung des DS-Records
- Der Resolver validiert den DS-Record, indem er:
- Den Hash-Wert des DS-Records berechnet.
- Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
- Wenn die Signatur gültig ist:
- Der DS-Record wird als authentisch betrachtet.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
- Der Resolver überprüft die Signatur des DNSKEY-Records mit dem öffentlichen KSK der Root-Zone.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
- Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.