Dnssec Ablauf 1
Version vom 17. März 2025, 19:59 Uhr von Thomas.will (Diskussion | Beiträge)
Validierung des DS-Records für .net
Der Root-Nameserver liefert den DS-Record für .net
- Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der übergeordneten Zone (der Root-Zone) gespeichert ist.
- Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone.
- Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone und stellt sicher, dass die .net-Zone autoritativ und unverfälscht ist.
Der DS-Record hat eine RRSIG-Signatur
- Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert.
- Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt.
- Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (in diesem Fall die Root-Zone).
Der Resolver nutzt den öffentlichen ZSK der Root-Zone
- Der Resolver (der DNS-Server, der die Anfrage bearbeitet) verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen.
- Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet, um die Authentizität der Signatur zu bestätigen.
Überprüfung der Signatur
- Der Resolver überprüft die RRSIG-Signatur, indem er:
- Den Hashwert des DS-Records berechnet.
- Die Signatur mit dem öffentlichen ZSK der Root-Zone entschlüsselt.
- Die beiden Werte vergleicht.
- Wenn die Signatur gültig ist:
- Der DS-Record ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette ist intakt.
Weiterführung der DNSSEC-Kette
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen.
- Dieser Prozess wiederholt sich für jede Zone in der DNS-Hierarchie, bis die vollständige DNSSEC-Kette validiert ist.
Zusammenfassung
Die Validierung des DS-Records für .net ist ein zentraler Schritt in der DNSSEC-Vertrauenskette. Sie stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind, indem kryptografische Signaturen und öffentliche Schlüssel verwendet werden.