Zum Hauptinhalt springen

7. Security Considerations (Sicherheitsüberlegungen)

Dieses Dokument beschreibt, wie die DNS-Sicherheitserweiterungen öffentliche Schlüsselkryptographie verwenden, um DNS-Ressourcen-Record-Sets zu signieren und zu authentifizieren. Bitte siehe [RFC4033] für Terminologie und allgemeine Sicherheitsüberlegungen in Bezug auf DNSSEC; siehe [RFC4034] für Überlegungen speziell für die DNSSEC-Ressourcen-Record-Typen.

Ein aktiver Angreifer, der das CD-Bit in einer DNS-Abfragenachricht oder das AD-Bit in einer DNS-Antwortnachricht setzen kann, kann diese Bits verwenden, um den Schutz zu umgehen, den DNSSEC sicherheitsvergessenen Resolvern im rekursiven Modus bieten möchte. Aus diesem Grund erfordert die Verwendung dieser Kontrollbits durch einen sicherheitsbewussten Resolver im rekursiven Modus einen sicheren Kanal. Siehe Abschnitte 3.2.2 und 4.9 für weitere Diskussion.

Das in diesem Dokument beschriebene Protokoll versucht, die Vorteile von DNSSEC auf sicherheitsvergessene Stub-Resolver auszudehnen. Da jedoch die Wiederherstellung von Validierungsfehlern wahrscheinlich anwendungsspezifisch ist, können sich die Einrichtungen, die DNSSEC für Stub-Resolver bereitstellt, als unzureichend erweisen. Betreiber sicherheitsbewusster rekursiver Nameserver müssen bei der Auswahl einer lokalen Validierungsrichtlinie genau auf das Verhalten der Anwendungen achten, die ihre Dienste nutzen; andernfalls könnte der rekursive Nameserver versehentlich den Service für die Clients verweigern, die er unterstützen soll.

Letztes Update am