Dnssec Ablauf

Aus Xinux Wiki

Version vom 17. März 2025, 20:17 Uhr von Thomas.will (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Hier ist die überarbeitete Version mit den Korrekturen und einer etwas klareren Struktur:

Frage des Resolvers

Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.

Antwort der Root-Nameserver

Die Root-Nameserver verweisen auf die autoritativen Nameserver der `.net`-Zone.
Zusätzlich enthalten die Root-Nameserver einen **DS-Record** für `.net`.
Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des **öffentlichen KSK der `.net`-Zone**.

Signatur des DS-Records

Der DS-Record ist mit einer **RRSIG-Signatur** signiert.
Diese Signatur wurde mit dem **privaten KSK der Root-Zone** erstellt.
Die RRSIG enthält Metadaten wie:
- Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
- Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
- Den Namen des Signers (die Root-Zone).

Überprüfung durch den Resolver

Der Resolver verwendet den **öffentlichen KSK der Root-Zone**, um die Signatur des DS-Records zu überprüfen.
Wenn die Signatur gültig ist:
- Der DS-Record für `.net` ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den `.net`-Nameservern

Nach erfolgreicher Validierung des DS-Records fragt der Resolver die `.net`-Nameserver an.
Er fordert den **DNSKEY der `.net`-Zone** an.

Validierung des DNSKEY der `.net`-Zone

Der DNSKEY der `.net`-Zone ist mit einer **RRSIG-Signatur** signiert, die mit dem **privaten KSK der `.net`-Zone** erstellt wurde.
Der Resolver überprüft die Signatur mit dem **öffentlichen KSK der `.net`-Zone**.
Wenn die Signatur gültig ist:
- Der DNSKEY der `.net`-Zone ist authentisch.
- Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der `.net`-Zone durchführen.

Anfrage bei den `dnssec.net`-Nameservern

Der Resolver fragt die autoritativen Nameserver von `dnssec.net` nach der IP-Adresse von `www.dnssec.net`.
Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.

Validierung der Antwort

Die RRSIG-Signatur der Antwort wurde mit dem **privaten ZSK der `dnssec.net`-Zone** erstellt.
Der Resolver verwendet den zuvor validierten **öffentlichen DNSKEY der `dnssec.net`-Zone**, um die Signatur zu überprüfen.
Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
Der Resolver überprüft jede Signatur anhand des **jeweils übergeordneten Schlüssels** in der Vertrauenskette.
DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf&oldid=60205“