Dnssec Ablauf 1: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | = DNSSEC | + | = DNSSEC-Validierung für dnssec.net = |
== Einleitung == | == Einleitung == | ||
| Zeile 9: | Zeile 9: | ||
* Die Antwort enthält: | * Die Antwort enthält: | ||
** Einen Verweis auf die autoritativen Nameserver der .net-Zone. | ** Einen Verweis auf die autoritativen Nameserver der .net-Zone. | ||
| − | ** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone) | + | ** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). |
** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde. | ** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde. | ||
** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ||
| + | |||
| + | == Validierung des DS-Records == | ||
| + | * Der Resolver validiert den DS-Record, indem er: | ||
| + | ** Den Hash-Wert des DS-Records berechnet. | ||
| + | ** Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert. | ||
| + | * Wenn die Signatur gültig ist: | ||
| + | ** Der DS-Record wird als authentisch betrachtet. | ||
| + | ** Die DNSSEC-Vertrauenskette wird fortgesetzt. | ||
== Anfrage bei den .net-Nameservern == | == Anfrage bei den .net-Nameservern == | ||
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | ||
| − | * | + | * Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält. |
| − | * Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone. | + | * Der Resolver überprüft die Signatur des DNSKEY-Records mit dem öffentlichen KSK der Root-Zone. |
== Validierung des DNSKEY der .net-Zone == | == Validierung des DNSKEY der .net-Zone == | ||
| − | * Der | + | * Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde. |
* Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone. | * Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone. | ||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
Aktuelle Version vom 17. März 2025, 21:29 Uhr
DNSSEC-Validierung für dnssec.net
Einleitung
- DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
- Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.
Anfrage beim Root-Nameserver
- Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
- Die Antwort enthält:
- Einen Verweis auf die autoritativen Nameserver der .net-Zone.
- Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone).
- Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
- Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
Validierung des DS-Records
- Der Resolver validiert den DS-Record, indem er:
- Den Hash-Wert des DS-Records berechnet.
- Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
- Wenn die Signatur gültig ist:
- Der DS-Record wird als authentisch betrachtet.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
- Der Resolver überprüft die Signatur des DNSKEY-Records mit dem öffentlichen KSK der Root-Zone.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
- Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.