Fehlerbehebung bei DNSSEC

DNSSEC sichert DNS.  In diesem Artikel wird erläutert, wie DNSSEC-Probleme erkannt werden, die sich auf die DNS-Auflösung auswirken.


Testen von DNSSEC mit Dig

Dig ist ein Befehlszeilentool zum Abfragen eines Nameservers nach DNS-Einträgen. Beispielsweise kann dig einen DNS-Resolver nach der IP-Adresse von www.cloudflare.com fragen. (Die Option + short gibt nur das Ergebnis aus):

$ dig www.cloudflare.com +short198.41.215.162198.41.214.162

Verwenden Sie dig, um DNSSEC-Einträge zu überprüfen.  Im folgenden Beispiel ist die letzte Ausgabezeile der RRSIG-EintragRRSIG ist die an den Eintrag angehängte DNSSEC-Signatur. Mit RRSIG ermittelt ein DNS-Resolver, ob eine DNS-Antwort vertrauenswürdig ist.

$ dig www.cloudflare.com +dnssec +short198.41.214.162198.41.215.162A 13 3 300 20180927180434 20180925160434 35273 cloudflare.com. DYYZ/bhHSAIlpvu/HEUsxlzkC9NsswbCQ7dcfcuiNBrbhYV7k3AI8t46 QMnOlfhwT6jqsfN7ePV6Fwpym3B0pg==

Dig ruft auch den öffentlichen Schlüssel ab, mit dem der DNS-Eintrag überprüft wurde.  Die DNS-Einträge einer Domain sind alle mit demselben öffentlichen Schlüssel signiert.  Fragen Sie daher den öffentlichen Schlüssel der Stammdomain und nicht den öffentlichen Schlüssel der Subdomain ab: 

$ dig DNSKEY cloudflare.com +short257 3 13 mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+ KkxLbxILfDLUT0rAK9iUzy1L53eKGQ==256 3 13 koPbw9wmYZ7ggcjnQ6ayHyhHaDNMYELKTqT+qRGrZpWSccr/lBcrm10Z 1PuQHB3Azhii+sb0PYFkH1ruxLhe5g==

Die DNS-Antwort enthält zwei Einträge:

  • Der DNSKEY-Eintrag 256 ist der öffentliche Schlüssel mit der Bezeichnung Zone-Signing Key, der zum Überprüfen der DNS-Eintragssignaturen für A, MX, CNAME, SRV usw. verwendet wird.
  • Der DNSKEY-Eintrag 257 wird als Key-Signing Key bezeichnet und dient zum Überprüfen der Signaturen der DNSKEY-, CDS- und CDNSKEY-Einträge.
Einzelheiten zum Überprüfen der Signaturen mit dem öffentlichen Schlüssel werden in diesem Artikel nicht behandelt.

Wenn Sie die Option + short mit dig nicht verwenden, wird eine DNS-Antwort DNSSEC-authentifiziert, wenn das Flag ad im Antwortheader angezeigt wird:

$ dig www.cloudflare.com[...];; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65326
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 [...] ;; QUESTION SECTION: ;www.cloudflare.com.        IN  A [...] ;; ANSWER SECTION: www.cloudflare.com. 15  IN  A   198.41.215.162 www.cloudflare.com. 15  IN  A   198.41.214.162

Anzeigen der DNSSEC-Vertrauenskette mit Dig

Die vollständige Überprüfung von Domainsignaturen (zum Beispiel: cloudflare.com) umfasst die Überprüfung des Key-Signing Keys in der Top-Level-Domain (zum Beispiel: .com).  Eine ähnliche Überprüfung wird ausgeführt, indem der Key-Signing Key von .com auf der Root-Server-Ebene überprüft wird. DNSSEC-Root Keys werden an DNS-Clients verteilt, um die Vertrauenskette abzuschließen.

Wenn DNSSEC aktiviert ist, ist ein DS-Eintrag im DNS des Registrars erforderlich. Der DS-Eintrag enthält einen Hash des öffentlichen Key-Signing Keys sowie Metadaten zum Schlüssel.

Verwenden Sie dig, um einen DS-Eintrag zu finden:

$ dig +short DS cloudflare.com2371 13 2 32996839A6D808AFE3EB4A795A0E6A7A39A76FC52FF228B22B76F6D6 3826F2B9

Bei Verwendung der

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk