DNSSEC
DNSSEC steht für "Domain Name System Security Extension" die das DNS mit verschiedenen Sicherheitsmöglichkeiten erweitert.
Bei der DNS Abfrage wird der ein gesamter Durchlauf durchgeführt, d.h. Der Länder-Nameserver, der Root Server und der Autoritative Nameserver wird angesprochen. Bei allen Server müssen die DNSSEC Daten vorhanden sein, damit die Abfrage erfolgreich ist.
Auflistung der DNSSEC Abfrage: DNSSEC
Einträge
| RRSIG | Enthält eine kryptographische Signatur |
DNSKEY |
Enthält einen Public Key |
DS |
Enthält den Hash eines DNSKEY Eintrags |
NSEC und NSEC3 |
Für die explizite Anerkennung eines Nicht-Existenten DNS Eintrags |
CDNSKEY und CDS |
Für die untergeordnete Zone zur Anfrage von Aktualisierungen eines DNS Eintrags in der Übergeordneten Zone |
Definition eines RRset
Beim RRset werden Einträge mit dem gleichen Namen und Typ gebündelt.
ZSK (Zone Signing KeyKey)
Definition des RRSIG Eintrags
Im RRSIG Eintrag befinden sich die Daten des Private Key und werden beim Zonenbetreiber im Nameserver hinterlegt.
Schema des ZSK
KSK (Key Signing Key)
Der KSK siginert zusätzlich den öffentlichen ZSK, der im DNSKEY Eintrag gespeichert ist und erstellt einen neuen RRSIG für den DNSKEY.
Schema des KSK
Ablauf einer DNSSEC Abfrage