Dnssec Ablauf 1: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „= Validierung des DS-Records für .net = == Schritt 1: Der Root-Nameserver liefert den DS-Record für .net == * Der '''DS-Record''' (Delegation Signer) ist ei…“) |
|||
| Zeile 1: | Zeile 1: | ||
= Validierung des DS-Records für .net = | = Validierung des DS-Records für .net = | ||
| − | == | + | == Der Root-Nameserver liefert den DS-Record für .net == |
* Der '''DS-Record''' (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der übergeordneten Zone (der Root-Zone) gespeichert ist. | * Der '''DS-Record''' (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der übergeordneten Zone (der Root-Zone) gespeichert ist. | ||
* Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone. | * Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone. | ||
Version vom 17. März 2025, 19:57 Uhr
Validierung des DS-Records für .net
Der Root-Nameserver liefert den DS-Record für .net
- Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der übergeordneten Zone (der Root-Zone) gespeichert ist.
- Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone.
- Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone und stellt sicher, dass die .net-Zone autoritativ und unverfälscht ist.
Schritt 2: Der DS-Record hat eine RRSIG-Signatur
- Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert.
- Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt.
- Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (in diesem Fall die Root-Zone).
Schritt 3: Der Resolver nutzt den öffentlichen ZSK der Root-Zone
- Der Resolver (der DNS-Server, der die Anfrage bearbeitet) verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen.
- Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet, um die Authentizität der Signatur zu bestätigen.
Schritt 4: Überprüfung der Signatur
- Der Resolver überprüft die RRSIG-Signatur, indem er:
- Den Hashwert des DS-Records berechnet.
- Die Signatur mit dem öffentlichen ZSK der Root-Zone entschlüsselt.
- Die beiden Werte vergleicht.
- Wenn die Signatur gültig ist:
- Der DS-Record ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette ist intakt.
Schritt 5: Weiterführung der DNSSEC-Kette
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen.
- Dieser Prozess wiederholt sich für jede Zone in der DNS-Hierarchie, bis die vollständige DNSSEC-Kette validiert ist.
Zusammenfassung
Die Validierung des DS-Records für .net ist ein zentraler Schritt in der DNSSEC-Vertrauenskette. Sie stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind, indem kryptografische Signaturen und öffentliche Schlüssel verwendet werden.