Dnssec Ablauf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
| − | = Anfrage beim Root-Nameserver = | + | |
| + | == Einleitung == | ||
| + | * DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten. | ||
| + | * Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain. | ||
| + | |||
| + | == Anfrage beim Root-Nameserver == | ||
* Der Resolver fragt die Root-Nameserver nach der Delegation für .net. | * Der Resolver fragt die Root-Nameserver nach der Delegation für .net. | ||
* Die Antwort enthält: | * Die Antwort enthält: | ||
** Einen Verweis auf die autoritativen Nameserver der .net-Zone. | ** Einen Verweis auf die autoritativen Nameserver der .net-Zone. | ||
| − | ** Einen DS-Record für .net (Hash-Wert des öffentlichen KSK | + | ** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). Dieser wird mit dem privaten KSK der Root-Zone signiert und trägt den Namen RRSIG. |
| + | ** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde. | ||
** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ||
| − | = | + | == Validierung des DS-Records == |
| − | + | * Der Resolver validiert den DS-Record, indem er: | |
| − | + | ** Den Hash-Wert des DS-Records berechnet. | |
| − | + | ** Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert. | |
| − | + | ** Wenn die Signatur gültig ist, wird der DS-Record als authentisch betrachtet. | |
| − | |||
| − | * Der Resolver | ||
| − | |||
| − | ** | ||
| − | ** | ||
| − | * | ||
| − | * Wenn die Signatur gültig ist | ||
| − | |||
| − | |||
| − | = Anfrage bei den .net-Nameservern = | + | == Anfrage bei den .net-Nameservern == |
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | ||
| − | * | + | * Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält. |
| − | + | * Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone. | |
| − | * | ||
| − | = Validierung des DNSKEY der .net-Zone = | + | == Validierung des DNSKEY der .net-Zone == |
| − | * Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert | + | * Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde. |
| − | + | * Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone. | |
| − | * Der Resolver überprüft die Signatur mit dem öffentlichen | ||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
** Der DNSKEY der .net-Zone ist authentisch. | ** Der DNSKEY der .net-Zone ist authentisch. | ||
| − | ** Die DNSSEC-Vertrauenskette wird | + | ** Die DNSSEC-Vertrauenskette wird fortgesetzt. |
| − | = Anfrage bei den dnssec.net-Nameservern = | + | == Anfrage bei den dnssec.net-Nameservern == |
* Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net. | * Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net. | ||
* Die Antwort enthält: | * Die Antwort enthält: | ||
| Zeile 44: | Zeile 37: | ||
** Eine RRSIG-Signatur für die Antwort. | ** Eine RRSIG-Signatur für die Antwort. | ||
| − | = Validierung der Antwort = | + | == Validierung der Antwort == |
* Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt. | * Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt. | ||
* Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen. | * Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen. | ||
| Zeile 51: | Zeile 44: | ||
** Der Resolver gibt die IP-Adresse an den Client zurück. | ** Der Resolver gibt die IP-Adresse an den Client zurück. | ||
| − | = Zusammenfassung = | + | == Zusammenfassung == |
* DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. | * DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. | ||
* Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone. | * Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone. | ||
* Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert. | * Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert. | ||
* DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | * DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | ||
Version vom 17. März 2025, 21:28 Uhr
Einleitung
- DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
- Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.
Anfrage beim Root-Nameserver
- Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
- Die Antwort enthält:
- Einen Verweis auf die autoritativen Nameserver der .net-Zone.
- Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). Dieser wird mit dem privaten KSK der Root-Zone signiert und trägt den Namen RRSIG.
- Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
- Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
Validierung des DS-Records
- Der Resolver validiert den DS-Record, indem er:
- Den Hash-Wert des DS-Records berechnet.
- Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
- Wenn die Signatur gültig ist, wird der DS-Record als authentisch betrachtet.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
- Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone.
Validierung des DNSKEY der .net-Zone
- Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
- Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.