Das Geheimnis der DNS-Root-Signaturzeremonie

frogred8 · 2026-01-18T23:22:06+09:00

Überblick DNS-Abfragen laufen in der Reihenfolge Client → rekursiver Resolver (RR) → Root-Server → TLD-Server → autoritativer DNS Dabei wird das Vertrauen in die Root- und TLD-Ebene durch schlüsselbasierte Signaturen aufrechterhalten Dieses Dokument erklärt im Detail, über welche Verfahren bei der Root-Signaturzeremonie Erneuerungen durchgeführt werden Inhalt Root-DNSSEC verwendet zwei Arten von Schlüsseln KSK (Key Signing Key): der oberste Signaturschlüssel, der den gesamten DNSKEY-Satz signiert ZSK (Zone Signing Key): der Schlüssel, der die Records jeder Zone signiert Der KSK wurde bisher in einem Abstand von 7 Jahren rotiert, künftig soll dies nun alle 3 Jahre einmal erfolgen Der ZSK wird alle 3 Monate erneuert Dafür wird die Root-Signaturzeremonie unter Leitung von ICANN mit mehreren Sicherheitsverantwortlichen und HSM-basierter Multi-Faktor-Authentifizierung durchgeführt; der Ablauf wird per YouTube Live öffentlich übertragen Die bei der Zeremonie verwendeten Dokumente, die Checksum-Prüfung, öffentliche Logs und die Videoaufzeichnung werden später extern bereitgestellt Ergebnis der Signaturzeremonie: https://www.iana.org/dnssec/ceremonies/55 Fazit Durch diesen transparenten Prozess wird das Root-DNS, der Kern des obersten Vertrauens im Internet, durch kryptografische Integrität und eine vertrauenswürdige Struktur aufrechterhalten

(frogred8.github.io)

3 Punkte von frogred8 2026-01-18 | 1 Kommentare | Auf WhatsApp teilen

Überblick
- DNS-Abfragen laufen in der Reihenfolge Client → rekursiver Resolver (RR) → Root-Server → TLD-Server → autoritativer DNS
- Dabei wird das Vertrauen in die Root- und TLD-Ebene durch schlüsselbasierte Signaturen aufrechterhalten
- Dieses Dokument erklärt im Detail, über welche Verfahren bei der Root-Signaturzeremonie Erneuerungen durchgeführt werden
Inhalt
- Root-DNSSEC verwendet zwei Arten von Schlüsseln
  - KSK (Key Signing Key): der oberste Signaturschlüssel, der den gesamten DNSKEY-Satz signiert
  - ZSK (Zone Signing Key): der Schlüssel, der die Records jeder Zone signiert
- Der KSK wurde bisher in einem Abstand von 7 Jahren rotiert, künftig soll dies nun alle 3 Jahre einmal erfolgen
- Der ZSK wird alle 3 Monate erneuert
- Dafür wird die Root-Signaturzeremonie unter Leitung von ICANN mit mehreren Sicherheitsverantwortlichen und HSM-basierter Multi-Faktor-Authentifizierung durchgeführt; der Ablauf wird per YouTube Live öffentlich übertragen
- Die bei der Zeremonie verwendeten Dokumente, die Checksum-Prüfung, öffentliche Logs und die Videoaufzeichnung werden später extern bereitgestellt
  - Ergebnis der Signaturzeremonie: https://www.iana.org/dnssec/ceremonies/55
Fazit
- Durch diesen transparenten Prozess wird das Root-DNS, der Kern des obersten Vertrauens im Internet, durch kryptografische Integrität und eine vertrauenswürdige Struktur aufrechterhalten

1 Kommentare

roxie 2026-01-23

Ich habe lange nach diesem Video gesucht, das ich nur noch vage in Erinnerung hatte, konnte es aber nicht finden, weil mir das Konzept dazu fehlte. Jetzt sehe ich es endlich. Vielen Dank!

Das Geheimnis der DNS-Root-Signaturzeremonie

Verwandte Beiträge

1 Kommentare