Dnssec Ablauf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | + | Hier ist die korrigierte Version in deinem gewünschten Format ohne Markdown: | |
== Frage des Resolvers == | == Frage des Resolvers == | ||
| Zeile 5: | Zeile 5: | ||
== Antwort der Root-Nameserver == | == Antwort der Root-Nameserver == | ||
| − | * Die Root-Nameserver verweisen auf die autoritativen Nameserver der | + | * Die Root-Nameserver verweisen auf die autoritativen Nameserver der ''.net''-Zone. |
| − | * Zusätzlich enthalten die Root-Nameserver einen | + | * Zusätzlich enthalten die Root-Nameserver einen ''DS-Record'' für ''.net''. |
| − | * Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des | + | * Der ''DS-Record'' (Delegation Signer) enthält einen kryptografischen Hash des öffentlichen ''KSK der .net-Zone''. |
== Signatur des DS-Records == | == Signatur des DS-Records == | ||
| − | * Der DS-Record ist mit einer | + | * Der ''DS-Record'' ist mit einer ''RRSIG-Signatur'' signiert. |
| − | * Diese Signatur wurde mit dem | + | * Diese Signatur wurde mit dem privaten ''KSK der Root-Zone'' erstellt. |
| − | * Die RRSIG enthält Metadaten wie: | + | * Die ''RRSIG'' enthält Metadaten wie: |
** Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256). | ** Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256). | ||
** Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt). | ** Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt). | ||
| Zeile 18: | Zeile 18: | ||
== Überprüfung durch den Resolver == | == Überprüfung durch den Resolver == | ||
| − | * Der Resolver verwendet den | + | * Der Resolver verwendet den öffentlichen ''KSK der Root-Zone'', um die Signatur des ''DS-Records'' zu überprüfen. |
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
| − | ** Der DS-Record für | + | ** Der ''DS-Record'' für ''.net'' ist authentisch und wurde nicht manipuliert. |
| − | ** Die DNSSEC-Vertrauenskette wird fortgesetzt. | + | ** Die ''DNSSEC-Vertrauenskette'' wird fortgesetzt. |
| − | == Anfrage bei den | + | == Anfrage bei den ''.net''-Nameservern == |
| − | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die | + | * Nach erfolgreicher Validierung des ''DS-Records'' fragt der Resolver die ''.net''-Nameserver an. |
| − | * Er fordert den | + | * Er fordert den ''DNSKEY der .net-Zone'' an. |
| − | == Validierung des DNSKEY der | + | == Validierung des DNSKEY der ''.net''-Zone == |
| − | * Der DNSKEY der | + | * Der ''DNSKEY der .net-Zone'' ist mit einer ''RRSIG-Signatur'' signiert, die mit dem privaten ''KSK der .net-Zone'' erstellt wurde. |
| − | * Der Resolver überprüft die Signatur mit dem | + | * Der Resolver überprüft die Signatur mit dem öffentlichen ''KSK der .net-Zone''. |
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
| − | ** Der DNSKEY der | + | ** Der ''DNSKEY der .net-Zone'' ist authentisch. |
| − | ** Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der | + | ** Der Resolver kann nun weitere ''DNSSEC-Validierungen'' innerhalb der ''.net''-Zone durchführen. |
| − | == Anfrage bei den | + | == Anfrage bei den ''dnssec.net''-Nameservern == |
| − | * Der Resolver fragt die autoritativen Nameserver von | + | * Der Resolver fragt die autoritativen Nameserver von ''dnssec.net'' nach der IP-Adresse von ''www.dnssec.net''. |
* Die Antwort enthält: | * Die Antwort enthält: | ||
| − | ** Einen A-Record (oder AAAA für IPv6). | + | ** Einen ''A-Record'' (oder ''AAAA'' für IPv6). |
| − | ** Eine RRSIG-Signatur für die Antwort. | + | ** Eine ''RRSIG-Signatur'' für die Antwort. |
== Validierung der Antwort == | == Validierung der Antwort == | ||
| − | * Die RRSIG-Signatur der Antwort wurde mit dem | + | * Die ''RRSIG-Signatur'' der Antwort wurde mit dem privaten ''ZSK der dnssec.net-Zone'' erstellt. |
| − | * Der Resolver verwendet den zuvor validierten | + | * Der Resolver verwendet den zuvor validierten öffentlichen ''DNSKEY der dnssec.net-Zone'', um die Signatur zu überprüfen. |
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
** Die Antwort ist authentisch und wurde nicht manipuliert. | ** Die Antwort ist authentisch und wurde nicht manipuliert. | ||
| Zeile 48: | Zeile 48: | ||
== Zusammenfassung == | == Zusammenfassung == | ||
| − | * DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. | + | * ''DNSSEC'' validiert jede Zone schrittweise mit kryptografischen Signaturen. |
| − | * Der Resolver überprüft jede Signatur anhand des | + | * Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der ''Vertrauenskette''. |
| − | * DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | + | * ''DNSSEC'' stellt sicher, dass die ''DNS-Antworten'' authentisch und nicht manipuliert sind. |
Version vom 17. März 2025, 20:19 Uhr
Hier ist die korrigierte Version in deinem gewünschten Format ohne Markdown:
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Antwort der Root-Nameserver
- Die Root-Nameserver verweisen auf die autoritativen Nameserver der .net-Zone.
- Zusätzlich enthalten die Root-Nameserver einen DS-Record für .net.
- Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des öffentlichen KSK der .net-Zone.
Signatur des DS-Records
- Der DS-Record ist mit einer RRSIG-Signatur signiert.
- Diese Signatur wurde mit dem privaten KSK der Root-Zone erstellt.
- Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (die Root-Zone).
Überprüfung durch den Resolver
- Der Resolver verwendet den öffentlichen KSK der Root-Zone, um die Signatur des DS-Records zu überprüfen.
- Wenn die Signatur gültig ist:
- Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Er fordert den DNSKEY der .net-Zone an.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der .net-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der .net-Zone durchführen.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der Vertrauenskette.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.