Die Root-DNS-Zone enthält Informationen darüber, wie die Nameserver der Top-Level-Domain (TLD) abgefragt werden können (.com, .edu, .org, usw.). Sie ermöglicht Internetnutzern den Zugang zu Domainnamen in allen TLDs, auch zu ganz neuen wie .software und .bank, und wird damit zu einem integralen Bestandteil des globalen Internets.
Im Beitrag „So funktioniert DNSSEC“ haben wir erklärt, wie das Vertrauen in DNSSEC vom DS-Ressourceneintrag der übergeordneten Zone abgeleitet wird. Die Root-DNS-Zone hat jedoch keine übergeordnete Stelle, wie können wir also der Integrität und Authentizität ihrer Informationen vertrauen?
.
Foto mit freundlicher Genehmigung der IANA
Das ist der Zweck der Root-Signing-Ceremony – ein strenges Verfahren zum Signieren der öffentlichen Schlüsselinformationen der Root-DNS-Zone für die nächsten Monate. Der private Signierschlüssel, der in diesem Prozess verwendet wird, ist buchstäblich der Schlüssel zum gesamten DNSSEC-geschützten Internet. Eine öffentliche, geprüfte und streng kontrollierte Zeremonie für den Zugang zu diesem Schlüssel ist notwendig, damit DNSSEC als globaler Standard Erfolg hat.
Ólafur Guðmundsson, Engineering Manager bei Cloudflare und Crypto-Officer bei ICANN, nahm an der Zeremonie im August teil. Dies sind seine Reflexionen über die Root-Signing-Ceremony.
graben. dnskey +dnssec
. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
. 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb
. 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==
Die Root-Signing-Ceremony macht die Root-DNS-Namensserver zu einem Vertrauensanker. Das Vertrauen wird nicht von einer übergeordneten Zone abgeleitet, sondern es wird vorausgesetzt. Die gesamte Zeremonie dient dazu, dieses Vertrauen zu stärken. Wir erkennen ein sehr menschliches Element in den Bestrebungen zur Sicherung des Internets: Der Grund, warum man den Root-DNS-Servern vertrauen kann, ist, dass man den Menschen vertrauen kann, die sie signieren. Und der Grund, warum Sie den Signatoren vertrauen können, liegt in den strengen Protokollen, die sie dabei befolgen. Darum geht es bei der Root-Signing-Ceremony.
Richten Sie eine Domain in weniger als 5 Minuten ein. Behalten Sie Ihren Hosting-Anbieter. Keine Codeänderungen erforderlich.