Anfrage des Clients

Der Resolver erhält eine Anfrage von einem Client:

• Beispiel: "Gib mir die A-Record-IP für www.dnssec.net."

Anfrage an den Root-Nameserver

Der Resolver kennt die Antwort nicht und fragt einen Root-Nameserver:

• "Welche Nameserver sind für .net zuständig?"

Antwort des Root-Nameservers

Der Root-Nameserver gibt die autoritativen Nameserver für .net zurück:

• Enthält NS-Records für .net.
• Enthält DS-Record für .net (falls .net DNSSEC nutzt). (Fragt: Enthält den Hash des Public KSK von .net zur Validierung durch die übergeordnete Zone?)

• Enthält RRSIG für den DS-Record. (Fragt: Diese Signatur wurde mit dem privaten ZSK der Root-Zone erstellt und sichert den DS-Record ab?)

Validierung des DS-Records für .net

Der Resolver muss die RRSIG-Signatur für den DS-Record prüfen:

• Dazu braucht er den Public ZSK der Root-Zone.
• Falls er den ZSK nicht gecached hat, fragt er die DNSKEYs der Root-Zone ab.

Abfrage der Root-DNSKEYs

Der Resolver fragt den Root-Nameserver:

• "Gib mir die DNSKEYs für . (Root)."

Antwort des Root-Nameservers

Der Root-Nameserver liefert die DNSKEYs:

• Public KSK (Trust Anchor ist bereits gespeichert).
• Public ZSK.
• RRSIG über die DNSKEYs (signiert mit dem privaten KSK).

Validierung der DNSKEYs

Der Resolver validiert die DNSKEYs:

• Er prüft die RRSIG der DNSKEYs mit dem Public KSK (Trust Anchor).
• Ist die Signatur gültig? → Public ZSK ist authentisch.

Validierung des DS-Records für .net

Der Resolver validiert den DS-Record von .net mit dem Public ZSK:

• Falls die Signatur gültig ist, geht die Namensauflösung weiter.