Zu Content springen
Deutsch
Ticket erstellen
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was ist ein DS-Record (Delegation Signer)?

Ein DS-Record (Delegation Signer Record) ist ein spezieller DNS-Eintrag, der im Rahmen von DNSSEC (Domain Name System Security Extensions) verwendet wird. Er ist entscheidend für die Vertrauenskette zwischen einer übergeordneten und einer untergeordneten Zone – z. B. zwischen example.com und .com. Damit wird sichergestellt, dass DNS-Antworten nicht manipuliert wurden.

Man kann den DS-Record als digitalen Händedruck verstehen – er teilt der übergeordneten Zone mit, welcher kryptografische Schlüssel für die untergeordnete Zone gültig ist, und schützt so DNS-Abfragen.


Der Aufbau eines DS-Records:

Ein DS-Record besteht aus folgenden Feldern:

  • Key-Tag: Eine kurze Kennung für den zugehörigen DNSKEY-Eintrag.

  • Algorithmus: Der verwendete kryptografische Algorithmus (z. B. RSA, ECDSA).

  • Digest-Typ: Der Hash-Algorithmus zur Erzeugung des Digest (z. B. SHA-1, SHA-256).

  • Digest: Der gehashte öffentliche Schlüssel der untergeordneten Zone.

Formatbeispiel:
12345 13 2 AB12CD34EF56GH78...
(Key-Tag, Algorithmus, Digest-Typ, Digest)

Diese Informationen ermöglichen es DNS-Resolvern, zu prüfen, ob der DNSKEY-Eintrag der Kind-Zone echt ist und zur Signatur in der Parent-Zone passt.


Wie funktioniert ein DS-Record?

Wenn DNSSEC aktiviert ist:

  1. Die untergeordnete Zone (z. B. example.com) erstellt ein Schlüsselpaar.

  2. Der öffentliche Schlüssel wird als DNSKEY-Record veröffentlicht.

  3. Daraus wird ein DS-Record generiert und an die übergeordnete Zone (z. B. .com) übermittelt.

  4. DNS-Resolver prüfen, ob der DS-Record in der Parent-Zone mit dem DNSKEY in der Child-Zone übereinstimmt. Wenn ja und die Signatur gültig ist, wird die DNS-Antwort als vertrauenswürdig eingestuft.

Warum ist ein DS-Record wichtig?

  • Schützt vor DNS-Spoofing: Stellt sicher, dass DNS-Daten aus einer vertrauenswürdigen Quelle stammen.

  • Vertrauensaufbau: Erlaubt kryptografische Validierung von der Root-Zone bis zur Domain.

  • Grundlage für DNSSEC: Ohne gültigen DS-Record in der Parent-Zone funktioniert DNSSEC nicht, was Ihre Domain angreifbar macht.