Globales DNSKEY-Validierungs-Tool
Der DNSKEY Resource Record ist das kryptografische Fundament von DNSSEC (Domain Name System Security Extensions). Das Kern-DNS-Protokoll ist von Natur aus unverschlüsselt und zustandslos, was es sehr anfällig für Cache Poisoning und Man-in-the-Middle (MitM) Spoofing macht. DNSSEC löst dies, indem es mathematische, kryptografische Signaturen an DNS-Antworten anhängt. Der DNSKEY-Record fungiert als Repository für öffentliche Schlüssel; er enthält die Base64-kodierten Public Keys, die Remote-Resolver verwenden, um zu verifizieren, dass ein Payload von A- oder MX-Records wirklich vom autoritativen Nameserver stammt und während der Übertragung nicht manipuliert wurde.
Die ZSK- und KSK-Architektur
Eine Standard-DNSSEC-Implementierung deployt zwei unterschiedliche Schlüssel, um Sicherheit mit betrieblicher Effizienz zu balancieren. Der Zone Signing Key (ZSK) ist ein kleinerer, ressourcenschonender kryptografischer Schlüssel, der verwendet wird, um die einzelnen Records (A, TXT, CNAME) innerhalb der Zone schnell zu signieren. Da er das Bulk-Signing übernimmt, wird der ZSK häufig rotiert (z. B. alle 30 Tage), um Brute-Force-Cracking zu verhindern. Der Key Signing Key (KSK) ist ein viel stärkerer, streng bewachter Schlüssel. Sein einziger Zweck ist es, den ZSK selbst zu signieren. Durch die Trennung dieser Schlüssel können Administratoren den ZSK lokal auf dem Nameserver rotieren, ohne ständig mit der übergeordneten TLD-Registry kommunizieren zu müssen.
Die Chain of Trust und DS-Records
Die Veröffentlichung eines DNSKEY-Records in Ihrer Zone ist nutzlos, es sei denn, es gibt einen verifizierbaren Vertrauenspfad (Chain of Trust), der bis in die Root des Internets reicht. Sobald der KSK eine Signatur generiert, wird ein mathematischer Hash dieses KSK als DS-Record (Delegation Signer) beim Domain-Registrar eingereicht. Der Registrar veröffentlicht diesen DS-Record in der übergeordneten TLD-Zone (wie der .com-Registry). Wenn ein rekursiver Resolver Ihre Domain abfragt, holt er den DS-Record vom Parent, um den KSK zu authentifizieren, nutzt den KSK zur Authentifizierung des ZSK und verwendet den ZSK, um die finale IP-Adresse zu authentifizieren. Ist ein Glied in dieser kryptografischen Kette gebrochen, schlägt die Validierung komplett fehl.
Katastrophale SERVFAIL-Ausfälle
Das Management von DNSKEY-Records erfordert absolute Präzision. DNSSEC ist darauf ausgelegt, "geschlossen zu scheitern" (fail closed). Rotiert ein automatisiertes Skript den ZSK auf dem Server, aber der entsprechende öffentliche DNSKEY-Record wird in der globalen Zone nicht aktualisiert, stimmen die kryptografischen Signaturen nicht mehr überein. ISPs und öffentliche Resolver wie Google (8.8.8.8) und Cloudflare (1.1.1.1) interpretieren dies als aktiven Cyberangriff. Sie verwerfen die DNS-Antwort sofort und geben dem Client einen fatalen SERVFAIL-Status zurück, was die Domain effektiv aus dem Internet löscht, bis die Schlüssel manuell synchronisiert oder DNSSEC auf Registrar-Ebene komplett deaktiviert wird.