Einführung DNSSEC

In der Regel wird beim DNSSEC-Betrieb die „Verfügungsgewalt“ über den ZSK und ggf. auch über den KSK beim Zonenverwalter liegen. Dies ist in vielen Fällen der Operator der Nameserver-Infrastruktur, im folgenden Operator genannt.

Ein Wechsel dieses Operators setzt einen Schlüsselwechsel (Key Rollover) des bzw. der betroffenen Schlüssel und einen Wechsel der DNS-Delegation an eine vom alten Operator unabhängige Infrastruktur (Satz von Nameservern) voraus.

In diesem Dokument werden für die relevanten Szenarien die Schritte aufgezeigt, damit ein koordinierter Schlüssel- und Operatorwechsel ohne Inkonsistenzen möglich ist.

Wenn diese Ablaufpläne befolgt werden, werden Validierungsfehler ausgeschlossen, da es während des laufenden Wechselverfahrens unerheblich ist, ob der validierende Resolver seine Schlüssel vom alten oder vom neuen Operator bezogen hat.

Achtung!   Ein Operatorwechsel in einem Schritt, d.h. Wechsel der Delegation mit einem Auftrag, wird zu Validierungsfehlern führen!

Ein Wechsel des RegAccs ohne Operatorwechsel ist auch bei DNSSEC-Domains weiterhin problemlos mit einem einzelnen CHPROV möglich.

 

Voraussetzung

Für die Nutzung werden Kenntnisse zum Ablauf des Umzugs einer unsignierten .de-Domain zu einem anderen Operator sowie Grundkenntnisse von DNSSEC (Bedeutung des KSK und ZSK sowie zum Ablauf der Signierung einer Domain) vorausgesetzt.

 

Rollen

In diesem Dokument werden zwei Rollen unterschieden:

  • Operator

  • RegAcc

Das RegAcc ist dabei das DENIC-Mitglied, welches die Domain verwaltet und die Änderungen an der Datenbank (Registry .de) vornimmt, wäh¬rend der Operator die Nameserver-Infrastruktur bereitstellt.

 

Form der Darstellung

Die folgende Form der Darstellung wird verwendet:

Bild 1:  Beispieldarstellung

Erläuterung: Für alle Fallbeispiele im Dokument wird die Domain „de-example.de“ verwendet. Für diese Domain soll ein Operatorwechsel durchgeführt werden. Die beim alten und neuen Operator abgebildeten zwei Server stellen lediglich eine bildliche Vereinfachung und keine Vorgabe dar. „NS alt“ bzw. „NS neu“ stehen dabei für die NS Resource Records der Domain de-example.de.

Es wird davon ausgegangen, dass für die Zone (de-example.de) mit separatem KSK und ZSK gearbeitet wird. Die Zusätze bei den Delegation Signern (DS) für „alt“ und „neu“ beziehen sich auf die autoritative Quelle der Informationen. Diese Quelle kann der alte oder der neue Operator sein.

Die Karteikarte der Abbildung stellt einen Auszug aus der .de-Zone für die Domain de-example.de mit den jeweils relevanten Daten dar. Auch für den alten und neuen Operator werden lediglich die in dessen Zone für den Operatorwechsel relevanten Daten dargestellt. Dabei gilt es zu beachten, dass es sich bei den dargestellten Schlüsseln um die öffentlichen Schlüssel handelt und aus Vereinfachungsgründen relevante DNSSEC-Signaturen nicht dargestellt sind. Wo nötig, wird im Text erwähnt, mit welchem Schlüssel welche Information signiert ist. In diesen Fällen versteht es sich, dass man den privaten Schlüsselteil einsetzt.

DS(KEY) steht für einen von der Registry erstellten DS-RR auf Basis der im Domainobjekt hinterlegten Schlüssel.

 

Ausgangssituation

Die Nameserver-Informationen und der gültige KSK des alten Operators für die Domain, z.B. de-example.de, sind in der Registry .de abgelegt. Der ZSK des alten Operators ist mit dessen KSK signiert und im DNS publiziert. Die Zone de-example.de ist an die Nameserver des Operators delegiert.

Die beteiligten Operatoren müssen in der Lage sein mit DNSSEC zu signieren.

Bild 2:  Situation vor dem Operatorwechsel