2. Definitions of Important DNSSEC Terms (Definitionen wichtiger DNSSEC-Begriffe)

Dieser Abschnitt definiert eine Reihe von Begriffen, die in diesem Dokumentensatz verwendet werden. Da dies als Referenz beim Lesen des restlichen Dokumentensatzes nützlich sein soll, möchten erstmalige Leser diesen Abschnitt möglicherweise schnell überfliegen, den Rest dieses Dokuments lesen und dann zu diesem Abschnitt zurückkehren.

Authentication Chain (Authentifizierungskette): Eine alternierende Sequenz von DNS-Öffentlichschlüssel (DNSKEY) RRsets und Delegation Signer (DS) RRsets bildet eine Kette signierter Daten, wobei jedes Glied in der Kette für das nächste bürgt. Ein DNSKEY RR wird verwendet, um die Signatur zu überprüfen, die einen DS RR abdeckt, und ermöglicht die Authentifizierung des DS RR. Der DS RR enthält einen Hash eines anderen DNSKEY RR, und dieser neue DNSKEY RR wird authentifiziert, indem der Hash im DS RR abgeglichen wird. Dieser neue DNSKEY RR authentifiziert wiederum einen anderen DNSKEY RRset, und wiederum kann ein DNSKEY RR in diesem Set verwendet werden, um einen anderen DS RR zu authentifizieren, und so weiter, bis die Kette schließlich mit einem DNSKEY RR endet, dessen entsprechender privater Schlüssel die gewünschten DNS-Daten signiert. Zum Beispiel kann das Root-DNSKEY RRset verwendet werden, um das DS RRset für "example." zu authentifizieren. Das "example." DS RRset enthält einen Hash, der zu einem "example." DNSKEY passt, und der entsprechende private Schlüssel dieses DNSKEY signiert das "example." DNSKEY RRset. Private Schlüssel-Gegenstücke des "example." DNSKEY RRset signieren Dateneinträge wie "www.example." und DS RRs für Delegationen wie "subzone.example."

Authentication Key (Authentifizierungsschlüssel): Ein öffentlicher Schlüssel, den ein sicherheitsbewusster Resolver verifiziert hat und daher zur Authentifizierung von Daten verwenden kann. Ein sicherheitsbewusster Resolver kann Authentifizierungsschlüssel auf drei Arten erhalten. Erstens ist der Resolver im Allgemeinen so konfiguriert, dass er mindestens einen öffentlichen Schlüssel kennt, diese konfigurierten Daten sind normalerweise entweder der öffentliche Schlüssel selbst oder ein Hash des öffentlichen Schlüssels, wie er im DS RR gefunden wird (siehe "trust anchor"). Zweitens kann der Resolver einen authentifizierten öffentlichen Schlüssel verwenden, um einen DS RR und den DNSKEY RR zu verifizieren, auf den sich der DS RR bezieht. Drittens kann der Resolver möglicherweise feststellen, dass ein neuer öffentlicher Schlüssel von dem privaten Schlüssel signiert wurde, der einem anderen öffentlichen Schlüssel entspricht, den der Resolver verifiziert hat. Beachten Sie, dass der Resolver bei der Entscheidung, ob ein neuer öffentlicher Schlüssel authentifiziert werden soll, immer von der lokalen Richtlinie geleitet werden muss, selbst wenn die lokale Richtlinie einfach darin besteht, jeden neuen öffentlichen Schlüssel zu authentifizieren, für den der Resolver die Signatur verifizieren kann.

Authoritative RRset (Autoritatives RRset): Im Kontext einer bestimmten Zone ist ein RRset "autoritativ", wenn und nur wenn der Besitzername des RRset innerhalb der Teilmenge des Namensraums liegt, der sich am oder unterhalb des Zonenscheitels und am oder oberhalb der Schnitte befindet, die die Zone von ihren Kindern trennen, falls vorhanden. Alle RRsets am Zonenscheitel sind autoritativ, mit Ausnahme bestimmter RRsets an diesem Domainnamen, die, falls vorhanden, zum Elternteil dieser Zone gehören. Diese RRsets könnten ein DS RRset, das NSEC RRset, das auf dieses DS RRset verweist (das "parentale NSEC"), und RRSIG RRs, die mit diesen RRsets verbunden sind, umfassen, die alle in der Elternzone autoritativ sind. Ebenso sind, wenn diese Zone Delegationspunkte enthält, nur das parentale NSEC RRset, DS RRsets und alle RRSIG RRs, die mit diesen RRsets verbunden sind, für diese Zone autoritativ.

Delegation Point (Delegationspunkt): Begriff, der verwendet wird, um den Namen auf der elterlichen Seite eines Zonenschnitts zu beschreiben. Das heißt, der Delegationspunkt für "foo.example" wäre der Knoten foo.example in der "example"-Zone (im Gegensatz zum Zonenscheitel der "foo.example"-Zone). Siehe auch zone apex.

Island of Security (Sicherheitsinsel): Begriff, der verwendet wird, um eine signierte, delegierte Zone zu beschreiben, die keine Authentifizierungskette von ihrem delegierenden Elternteil hat. Das heißt, es gibt keinen DS RR, der einen Hash eines DNSKEY RR für die Insel in ihrer delegierenden Elternzone enthält (siehe [RFC4034]). Eine Sicherheitsinsel wird von sicherheitsbewussten Nameservern bedient und kann Authentifizierungsketten zu allen delegierten Kindzonen bereitstellen. Antworten von einer Sicherheitsinsel oder ihren Nachkommen können nur authentifiziert werden, wenn ihre Authentifizierungsschlüssel durch einige vertrauenswürdige Mittel außerhalb des DNS-Protokolls authentifiziert werden können.

Key Signing Key (KSK, Schlüsselsignaturschlüssel): Ein Authentifizierungsschlüssel, der einem privaten Schlüssel entspricht, der zum Signieren eines oder mehrerer anderer Authentifizierungsschlüssel für eine gegebene Zone verwendet wird. Typischerweise signiert der private Schlüssel, der einem Schlüsselsignaturschlüssel entspricht, einen Zonensignaturschlüssel, der wiederum einen entsprechenden privaten Schlüssel hat, der andere Zonendaten signiert. Die lokale Richtlinie kann erfordern, dass der Zonensignaturschlüssel häufig geändert wird, während der Schlüsselsignaturschlüssel eine längere Gültigkeitsdauer haben kann, um einen stabileren sicheren Einstiegspunkt in die Zone zu bieten. Die Bezeichnung eines Authentifizierungsschlüssels als Schlüsselsignaturschlüssel ist rein eine betriebliche Angelegenheit: Die DNSSEC-Validierung unterscheidet nicht zwischen Schlüsselsignaturschlüsseln und anderen DNSSEC-Authentifizierungsschlüsseln, und es ist möglich, einen einzelnen Schlüssel sowohl als Schlüsselsignaturschlüssel als auch als Zonensignaturschlüssel zu verwenden. Schlüsselsignaturschlüssel werden in [RFC3757] ausführlicher diskutiert. Siehe auch zone signing key.

Non-Validating Security-Aware Stub Resolver (Nicht validierender sicherheitsbewusster Stub-Resolver): Ein sicherheitsbewusster Stub-Resolver, der einem oder mehreren sicherheitsbewussten rekursiven Nameservern vertraut, die meisten der in diesem Dokumentensatz besprochenen Aufgaben in seinem Namen auszuführen. Insbesondere ist ein nicht validierender sicherheitsbewusster Stub-Resolver eine Entität, die DNS-Abfragen sendet, DNS-Antworten empfängt und in der Lage ist, einen angemessen gesicherten Kanal zu einem sicherheitsbewussten rekursiven Nameserver herzustellen, der diese Dienste im Namen des sicherheitsbewussten Stub-Resolvers bereitstellt. Siehe auch security-aware stub resolver, validating security-aware stub resolver.

Non-Validating Stub Resolver (Nicht validierender Stub-Resolver): Ein weniger umständlicher Begriff für einen nicht validierenden sicherheitsbewussten Stub-Resolver.

Security-Aware Name Server (Sicherheitsbewusster Nameserver): Eine Entität, die in der Rolle eines Nameservers (definiert in Abschnitt 2.4 von [RFC1034]) agiert und die in diesem Dokumentensatz definierten DNS-Sicherheitserweiterungen versteht. Insbesondere ist ein sicherheitsbewusster Nameserver eine Entität, die DNS-Abfragen empfängt, DNS-Antworten sendet, die EDNS0-Nachrichtengrößenerweiterung ([RFC2671]) und das DO-Bit ([RFC3225]) unterstützt und die in diesem Dokumentensatz definierten RR-Typen und Nachrichtenkopf-Bits unterstützt.

Security-Aware Recursive Name Server (Sicherheitsbewusster rekursiver Nameserver): Eine Entität, die sowohl in der Rolle des sicherheitsbewussten Nameservers als auch des sicherheitsbewussten Resolvers agiert. Eine umständlichere, aber gleichwertige Formulierung wäre "ein sicherheitsbewusster Nameserver, der rekursiven Dienst anbietet".

Security-Aware Resolver (Sicherheitsbewusster Resolver): Eine Entität, die in der Rolle eines Resolvers (definiert in Abschnitt 2.4 von [RFC1034]) agiert und die in diesem Dokumentensatz definierten DNS-Sicherheitserweiterungen versteht. Insbesondere ist ein sicherheitsbewusster Resolver eine Entität, die DNS-Abfragen sendet, DNS-Antworten empfängt, die EDNS0-Nachrichtengrößenerweiterung ([RFC2671]) und das DO-Bit ([RFC3225]) unterstützt und in der Lage ist, die in diesem Dokumentensatz definierten RR-Typen und Nachrichtenkopf-Bits zu verwenden, um DNSSEC-Dienste bereitzustellen.

Security-Aware Stub Resolver (Sicherheitsbewusster Stub-Resolver): Eine Entität, die in der Rolle eines Stub-Resolvers (definiert in Abschnitt 5.3.1 von [RFC1034]) agiert und genug Verständnis der in diesem Dokumentensatz definierten DNS-Sicherheitserweiterungen hat, um zusätzliche Dienste bereitzustellen, die von einem sicherheitsignoranten Stub-Resolver nicht verfügbar sind. Sicherheitsbewusste Stub-Resolver können entweder "validierend" oder "nicht validierend" sein, je nachdem, ob der Stub-Resolver versucht, DNSSEC-Signaturen selbst zu verifizieren, oder einem freundlichen sicherheitsbewussten Nameserver vertraut, dies zu tun. Siehe auch validating stub resolver, non-validating stub resolver.

Security-Oblivious <anything> (Sicherheitsignorant <etwas>): Ein <etwas>, das nicht "sicherheitsbewusst" ist.

Signed Zone (Signierte Zone): Eine Zone, deren RRsets signiert sind und die ordnungsgemäß konstruierte DNSKEY-, Resource Record Signature (RRSIG)-, Next Secure (NSEC)- und (optional) DS-Einträge enthält.

Trust Anchor (Vertrauensanker): Ein konfigurierter DNSKEY RR oder DS RR Hash eines DNSKEY RR. Ein validierender sicherheitsbewusster Resolver verwendet diesen öffentlichen Schlüssel oder Hash als Ausgangspunkt für den Aufbau der Authentifizierungskette zu einer signierten DNS-Antwort. Im Allgemeinen muss ein validierender Resolver die Anfangswerte seiner Vertrauensanker über sichere oder vertrauenswürdige Mittel außerhalb des DNS-Protokolls erhalten. Das Vorhandensein eines Vertrauensankers impliziert auch, dass der Resolver erwarten sollte, dass die Zone, auf die der Vertrauensanker zeigt, signiert ist.

Unsigned Zone (Nicht signierte Zone): Eine Zone, die nicht signiert ist.

Validating Security-Aware Stub Resolver (Validierender sicherheitsbewusster Stub-Resolver): Ein sicherheitsbewusster Resolver, der Abfragen im rekursiven Modus sendet, aber selbst Signaturvalidierung durchführt, anstatt einem vorgelagerten sicherheitsbewussten rekursiven Nameserver blind zu vertrauen. Siehe auch security-aware stub resolver, non-validating security-aware stub resolver.

Validating Stub Resolver (Validierender Stub-Resolver): Ein weniger umständlicher Begriff für einen validierenden sicherheitsbewussten Stub-Resolver.

Zone Apex (Zonenscheitel): Begriff, der verwendet wird, um den Namen auf der Kindseite eines Zonenschnitts zu beschreiben. Siehe auch delegation point.

Zone Signing Key (ZSK, Zonensignaturschlüssel): Ein Authentifizierungsschlüssel, der einem privaten Schlüssel entspricht, der zum Signieren einer Zone verwendet wird. Typischerweise ist ein Zonensignaturschlüssel Teil desselben DNSKEY RRset wie der Schlüsselsignaturschlüssel, dessen entsprechender privater Schlüssel dieses DNSKEY RRset signiert, aber der Zonensignaturschlüssel wird für einen etwas anderen Zweck verwendet und kann sich in anderen Aspekten wie der Gültigkeitsdauer vom Schlüsselsignaturschlüssel unterscheiden. Die Bezeichnung eines Authentifizierungsschlüssels als Zonensignaturschlüssel ist rein eine betriebliche Angelegenheit, die DNSSEC-Validierung unterscheidet nicht zwischen Zonensignaturschlüsseln und anderen DNSSEC-Authentifizierungsschlüsseln, und es ist möglich, einen einzelnen Schlüssel sowohl als Schlüsselsignaturschlüssel als auch als Zonensignaturschlüssel zu verwenden. Siehe auch key signing key.