Dnssec Ablauf
Version vom 17. März 2025, 20:54 Uhr von Thomas.will (Diskussion | Beiträge) (→Anfrage beim Root-Nameserver)
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Anfrage beim Root-Nameserver
- Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
- Die Antwort enthält:
- Einen Verweis auf die autoritativen Nameserver der .net-Zone.
- Einen DS-Record für .net (Hash-Wert des öffentlichen KSK (Key Signing Key) der .net-Zone.)
- Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
Signatur des DS-Records
- Der DS-Record für .net wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
- Der resultierende Hash-Wert wird mit dem privaten KSK der Root-Zone signiert.
- Diese Signatur wird als RRSIG-Record gespeichert.
Überprüfung durch den Resolver
- Der Resolver empfängt den DS-Record und die zugehörige RRSIG-Signatur von der Root-Zone.
- Zur Validierung führt der Resolver folgende Schritte aus:
- Er berechnet den Hash-Wert des DS-Records.
- Er entschlüsselt die RRSIG-Signatur mit dem öffentlichen KSK der Root-Zone (der im DNSKEY-Record enthalten ist).
- Er vergleicht beide Werte miteinander.
- Wenn die Signatur gültig ist:
- Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Er fordert folgende Einträge an:
- Den DNSKEY-Record der .net-Zone, der den öffentlichen KSK und ZSK der .net-Zone enthält.
- Die RRSIG-Signatur des DNSKEY-Records.
Validierung des DNSKEY der .net-Zone
- Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert.
- Diese Signatur wurde mit dem privaten KSK der .net-Zone erstellt.
- Der Resolver überprüft die Signatur mit dem öffentlichen DS-Record der .net-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Die DNSSEC-Vertrauenskette wird weitergeführt.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
- Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.