- Überblick
- DNS-Abfragen laufen in der Reihenfolge Client → rekursiver Resolver (RR) → Root-Server → TLD-Server → autoritativer DNS
- Dabei wird das Vertrauen in die Root- und TLD-Ebene durch schlüsselbasierte Signaturen aufrechterhalten
- Dieses Dokument erklärt im Detail, über welche Verfahren bei der Root-Signaturzeremonie Erneuerungen durchgeführt werden
- Inhalt
- Root-DNSSEC verwendet zwei Arten von Schlüsseln
- KSK (Key Signing Key): der oberste Signaturschlüssel, der den gesamten DNSKEY-Satz signiert
- ZSK (Zone Signing Key): der Schlüssel, der die Records jeder Zone signiert
- Der KSK wurde bisher in einem Abstand von 7 Jahren rotiert, künftig soll dies nun alle 3 Jahre einmal erfolgen
- Der ZSK wird alle 3 Monate erneuert
- Dafür wird die Root-Signaturzeremonie unter Leitung von ICANN mit mehreren Sicherheitsverantwortlichen und HSM-basierter Multi-Faktor-Authentifizierung durchgeführt; der Ablauf wird per YouTube Live öffentlich übertragen
- Die bei der Zeremonie verwendeten Dokumente, die Checksum-Prüfung, öffentliche Logs und die Videoaufzeichnung werden später extern bereitgestellt
- Fazit
- Durch diesen transparenten Prozess wird das Root-DNS, der Kern des obersten Vertrauens im Internet, durch kryptografische Integrität und eine vertrauenswürdige Struktur aufrechterhalten
Noch keine Kommentare.