Dnssec Ablauf 1: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde geleert.)
Markierung: Geleert
 
Zeile 1: Zeile 1:
 +
= DNSSEC-Validierung für dnssec.net =
  
 +
== Einleitung ==
 +
* DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
 +
* Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.
 +
 +
== Anfrage beim Root-Nameserver ==
 +
* Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
 +
* Die Antwort enthält:
 +
** Einen Verweis auf die autoritativen Nameserver der .net-Zone.
 +
** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone).
 +
** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
 +
** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
 +
 +
== Validierung des DS-Records ==
 +
* Der Resolver validiert den DS-Record, indem er:
 +
** Den Hash-Wert des DS-Records berechnet.
 +
** Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
 +
* Wenn die Signatur gültig ist:
 +
** Der DS-Record wird als authentisch betrachtet.
 +
** Die DNSSEC-Vertrauenskette wird fortgesetzt.
 +
 +
== Anfrage bei den .net-Nameservern ==
 +
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
 +
* Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
 +
* Der Resolver überprüft die Signatur des DNSKEY-Records mit dem öffentlichen KSK der Root-Zone.
 +
 +
== Validierung des DNSKEY der .net-Zone ==
 +
* Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
 +
* Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
 +
* Wenn die Signatur gültig ist:
 +
** Der DNSKEY der .net-Zone ist authentisch.
 +
** Die DNSSEC-Vertrauenskette wird fortgesetzt.
 +
 +
== Anfrage bei den dnssec.net-Nameservern ==
 +
* Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
 +
* Die Antwort enthält:
 +
** Einen A-Record (oder AAAA für IPv6).
 +
** Eine RRSIG-Signatur für die Antwort.
 +
 +
== Validierung der Antwort ==
 +
* Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
 +
* Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
 +
* Wenn die Signatur gültig ist:
 +
** Die Antwort ist authentisch und wurde nicht manipuliert.
 +
** Der Resolver gibt die IP-Adresse an den Client zurück.
 +
 +
== Zusammenfassung ==
 +
* DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
 +
* Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
 +
* Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
 +
* DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.

Aktuelle Version vom 17. März 2025, 21:29 Uhr

DNSSEC-Validierung für dnssec.net

Einleitung

  • DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
  • Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.

Anfrage beim Root-Nameserver

  • Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
  • Die Antwort enthält:
    • Einen Verweis auf die autoritativen Nameserver der .net-Zone.
    • Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone).
    • Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
    • Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.

Validierung des DS-Records

  • Der Resolver validiert den DS-Record, indem er:
    • Den Hash-Wert des DS-Records berechnet.
    • Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
  • Wenn die Signatur gültig ist:
    • Der DS-Record wird als authentisch betrachtet.
    • Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den .net-Nameservern

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
  • Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
  • Der Resolver überprüft die Signatur des DNSKEY-Records mit dem öffentlichen KSK der Root-Zone.

Validierung des DNSKEY der .net-Zone

  • Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
  • Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
  • Wenn die Signatur gültig ist:
    • Der DNSKEY der .net-Zone ist authentisch.
    • Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den dnssec.net-Nameservern

  • Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
  • Die Antwort enthält:
    • Einen A-Record (oder AAAA für IPv6).
    • Eine RRSIG-Signatur für die Antwort.

Validierung der Antwort

  • Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
  • Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

  • DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
  • Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
  • Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
  • DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf_1&oldid=60230