Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSSEC – Überblick

Junos OS-Geräte unterstützen den DNSSEC-Standard (Domain Name Service Security Extensions). DNSSEC ist eine Erweiterung von DNS, die die Authentifizierung und Integritätsprüfung von Daten mithilfe von Signaturen ermöglicht, die auf öffentlichen Schlüsseln basieren.

In DNSSEC werden alle Ressourceneinträge in einem DNS mit dem privaten Schlüssel des Zonenbesitzers signiert. Der DNS-Resolver verwendet den öffentlichen Schlüssel des Besitzers, um die Signatur zu validieren. Der Zonenbesitzer generiert einen privaten Schlüssel, um den Hash eines Satzes von Ressourceneinträgen zu verschlüsseln. Der private Schlüssel wird im RRSIG-Datensatz gespeichert. Der entsprechende öffentliche Schlüssel wird im DNSKEY-Eintrag gespeichert. Der Resolver verwendet den öffentlichen Schlüssel, um die RRSIG zu entschlüsseln, und vergleicht das Ergebnis mit dem Hash des Ressourceneintrags, um sicherzustellen, dass er nicht geändert wurde.

Ebenso wird der Hash des öffentlichen DNS-Schlüssels in einem DS-Eintrag in einer übergeordneten Zone gespeichert. Der Zonenbesitzer generiert einen privaten Schlüssel, um den Hash des öffentlichen Schlüssels zu verschlüsseln. Der private Schlüssel wird im RRSIG-Datensatz gespeichert. Der Resolver ruft den DS-Datensatz und den entsprechenden RRSIG-Eintrag und öffentlichen Schlüssel ab. Mithilfe des öffentlichen Schlüssels entschlüsselt der Resolver den RRSIG-Eintrag und vergleicht das Ergebnis mit dem Hash des öffentlichen DNS-Schlüssels, um sicherzustellen, dass er nicht geändert wurde. Dadurch wird eine Vertrauenskette zwischen dem Resolver und den Nameservern aufgebaut.