Dnssec Ablauf 1: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
= Validierung des DS-Records für .net = | = Validierung des DS-Records für .net = | ||
| + | |||
| + | == Frage des Resolvers == | ||
| + | * Ein Resolver fragt nach einer Domain, z. B. ''www.dnssec.net''. | ||
== Der Root-Nameserver liefert den DS-Record für .net == | == Der Root-Nameserver liefert den DS-Record für .net == | ||
| − | * Der | + | * Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der Root-Zone gespeichert ist. |
* Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone. | * Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone. | ||
| − | * Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone | + | * Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone. |
== Der DS-Record hat eine RRSIG-Signatur == | == Der DS-Record hat eine RRSIG-Signatur == | ||
| − | * Der DS-Record ist mit einer | + | * Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert. |
| − | * Diese Signatur wird mit dem privaten | + | * Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt. |
| − | *Die RRSIG enthält Metadaten wie: | + | * Die RRSIG enthält Metadaten wie: |
** Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256). | ** Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256). | ||
** Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt). | ** Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt). | ||
| Zeile 15: | Zeile 18: | ||
== Der Resolver nutzt den öffentlichen ZSK der Root-Zone == | == Der Resolver nutzt den öffentlichen ZSK der Root-Zone == | ||
| − | * Der Resolver | + | * Der Resolver verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen. |
| − | * Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet | + | * Der öffentliche ZSK ist im Vorhinein bekannt und wird zur Authentizitätsprüfung verwendet. |
== Überprüfung der Signatur == | == Überprüfung der Signatur == | ||
| Zeile 27: | Zeile 30: | ||
** Die DNSSEC-Vertrauenskette ist intakt. | ** Die DNSSEC-Vertrauenskette ist intakt. | ||
| − | == | + | == Anfrage bei den .net-Nameservern == |
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | ||
* Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen. | * Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen. | ||
| − | * | + | |
| + | == Validierung des DNSKEY der .net-Zone == | ||
| + | * Der DNSKEY der .net-Zone ist mit einer RRSIG signiert, die mit dem privaten KSK (Key Signing Key) der .net-Zone erstellt wurde. | ||
| + | * Der Resolver verwendet den öffentlichen KSK der .net-Zone, um die RRSIG des DNSKEY zu überprüfen. | ||
| + | * Wenn die Signatur gültig ist: | ||
| + | ** Der DNSKEY ist authentisch. | ||
| + | ** Der Resolver kann jetzt die DNSSEC-Validierung für die Domain ''dnssec.net'' fortsetzen. | ||
| + | |||
| + | == Anfrage bei den dnssec.net-Nameservern == | ||
| + | * Der Resolver fragt die Nameserver (NS) von ''dnssec.net'' an, um die IP-Adresse von ''www.dnssec.net'' zu erhalten. | ||
| + | * Die Antwort der dnssec.net-Nameserver enthält einen A-Record (oder AAAA für IPv6) sowie eine RRSIG-Signatur. | ||
| + | * Der Resolver verwendet den öffentlichen Schlüssel (DNSKEY) der .net-Zone, um die RRSIG der Antwort zu überprüfen. | ||
| + | * Wenn die Signatur gültig ist: | ||
| + | ** Die Antwort ist authentisch und wurde nicht manipuliert. | ||
| + | ** Der Resolver liefert die IP-Adresse an den Client zurück. | ||
== Zusammenfassung == | == Zusammenfassung == | ||
| − | Die Validierung des DS-Records für .net ist | + | * Die Validierung des DS-Records für .net ist der erste Schritt in der DNSSEC-Vertrauenskette. |
| + | * Der Prozess setzt sich fort, bis die Antwort der Nameserver von ''dnssec.net'' validiert ist. | ||
| + | * DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | ||
Version vom 17. März 2025, 20:11 Uhr
Validierung des DS-Records für .net
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Der Root-Nameserver liefert den DS-Record für .net
- Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der Root-Zone gespeichert ist.
- Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone.
- Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone.
Der DS-Record hat eine RRSIG-Signatur
- Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert.
- Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt.
- Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (in diesem Fall die Root-Zone).
Der Resolver nutzt den öffentlichen ZSK der Root-Zone
- Der Resolver verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen.
- Der öffentliche ZSK ist im Vorhinein bekannt und wird zur Authentizitätsprüfung verwendet.
Überprüfung der Signatur
- Der Resolver überprüft die RRSIG-Signatur, indem er:
- Den Hashwert des DS-Records berechnet.
- Die Signatur mit dem öffentlichen ZSK der Root-Zone entschlüsselt.
- Die beiden Werte vergleicht.
- Wenn die Signatur gültig ist:
- Der DS-Record ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette ist intakt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG signiert, die mit dem privaten KSK (Key Signing Key) der .net-Zone erstellt wurde.
- Der Resolver verwendet den öffentlichen KSK der .net-Zone, um die RRSIG des DNSKEY zu überprüfen.
- Wenn die Signatur gültig ist:
- Der DNSKEY ist authentisch.
- Der Resolver kann jetzt die DNSSEC-Validierung für die Domain dnssec.net fortsetzen.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die Nameserver (NS) von dnssec.net an, um die IP-Adresse von www.dnssec.net zu erhalten.
- Die Antwort der dnssec.net-Nameserver enthält einen A-Record (oder AAAA für IPv6) sowie eine RRSIG-Signatur.
- Der Resolver verwendet den öffentlichen Schlüssel (DNSKEY) der .net-Zone, um die RRSIG der Antwort zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver liefert die IP-Adresse an den Client zurück.
Zusammenfassung
- Die Validierung des DS-Records für .net ist der erste Schritt in der DNSSEC-Vertrauenskette.
- Der Prozess setzt sich fort, bis die Antwort der Nameserver von dnssec.net validiert ist.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.