9. DNSSEC-Zustände

Ein validierender Resolver kann bestimmen, dass eine Antwort in einem von vier Zuständen ist: secure (sicher), insecure (unsicher), bogus oder indeterminate (unbestimmt). Diese Zustände sind in [RFC4033] und [RFC4035] definiert, obwohl die beiden Definitionen sich etwas unterscheiden. Dieses Dokument unternimmt keinen Versuch, die beiden Definitionen in Einklang zu bringen, und nimmt keine Position dazu ein, ob sie in Einklang gebracht werden müssen.

Abschnitt 5 von [RFC4033] sagt:

Ein validierender Resolver kann die folgenden 4 Zustände bestimmen:

Secure (Sicher): Der validierende Resolver hat einen Vertrauensanker, hat eine Vertrauenskette und ist in der Lage, alle Signaturen in der Antwort zu verifizieren.

Insecure (Unsicher): Der validierende Resolver hat einen Vertrauensanker, eine Vertrauenskette, und an einem Delegationspunkt einen signierten Beweis für die Nichtexistenz eines DS-Records. Dies zeigt an, dass nachfolgende Zweige im Baum nachweislich unsicher sind. Ein validierender Resolver kann eine lokale Richtlinie haben, um Teile des Domänenraums als unsicher zu markieren.

Bogus: Der validierende Resolver hat einen Vertrauensanker und eine sichere Delegation, die anzeigt, dass untergeordnete Daten signiert sind, aber die Antwort scheitert aus irgendeinem Grund bei der Validierung: fehlende Signaturen, abgelaufene Signaturen, Signaturen mit nicht unterstützten Algorithmen, Daten fehlen, die der relevante NSEC RR angibt, sollten vorhanden sein, und so weiter.

Indeterminate (Unbestimmt): Es gibt keinen Vertrauensanker, der anzeigen würde, dass ein spezifischer Teil des Baums sicher ist. Dies ist der Standard-Betriebsmodus.

Abschnitt 4.3 von [RFC4035] sagt:

Ein sicherheitsbewusster Resolver muss in der Lage sein, zwischen vier Fällen zu unterscheiden:

Secure (Sicher): Ein RRset, für das der Resolver in der Lage ist, eine Kette von signierten DNSKEY- und DS-RRs von einem vertrauenswürdigen Sicherheitsanker zum RRset aufzubauen. In diesem Fall sollte das RRset signiert sein und unterliegt der Signaturvalidierung, wie oben beschrieben.

Insecure (Unsicher): Ein RRset, für das der Resolver weiß, dass es keine Kette von signierten DNSKEY- und DS-RRs von irgendeinem vertrauenswürdigen Ausgangspunkt zum RRset hat. Dies kann auftreten, wenn das Ziel-RRset in einer unsignierten Zone oder in einem Nachkommen einer unsignierten Zone liegt. In diesem Fall kann das RRset signiert sein oder nicht, aber der Resolver wird nicht in der Lage sein, die Signatur zu verifizieren.

Bogus: Ein RRset, für das der Resolver glaubt, dass er in der Lage sein sollte, eine Vertrauenskette aufzubauen, aber für das er nicht in der Lage ist, dies zu tun, entweder aufgrund von Signaturen, die aus irgendeinem Grund nicht validiert werden, oder aufgrund fehlender Daten, die die relevanten DNSSEC-RRs anzeigen, sollten vorhanden sein. Dieser Fall kann auf einen Angriff hinweisen, kann aber auch auf einen Konfigurationsfehler oder eine Form der Datenbeschädigung hinweisen.

Indeterminate (Unbestimmt): Ein RRset, für das der Resolver nicht in der Lage ist zu bestimmen, ob das RRset signiert sein sollte, da der Resolver nicht in der Lage ist, die notwendigen DNSSEC-RRs zu erhalten. Dies kann auftreten, wenn der sicherheitsbewusste Resolver nicht in der Lage ist, sicherheitsbewusste Nameserver für die relevanten Zonen zu kontaktieren.