DNSSEC-Chain-Validator

Nach RFC 4034 + RFC 8624

Prüft die DNSSEC-Vertrauenskette einer Zone: DS-Records im Parent, DNSKEY in der Zone, AD-Bit und Algorithm-Match zwischen DS und KSK.

Was ist das, und wann brauche ich es?

Was ist das?

DNSSEC bindet die Records einer Zone an eine Kette kryptographischer Signaturen, verankert im IANA-Trust-Anchor. Ein validierender Resolver (z. B. Cloudflare 1.1.1.1) prüft die Kette und setzt das AD-Bit in seiner Antwort. Bricht die Kette oder fehlt sie, bleibt das AD-Bit aus - und alle Folge-Protokolle, die auf DNSSEC vertrauen (DANE/TLSA, SVCB, sichere Delegationen), fallen auf Plain-DNS zurück.

Das Werkzeug fragt DS-Records (Parent-Zone) und DNSKEY-Records (Zone selbst) ab plus eine A-Record-Probe für das AD-Bit. Es bewertet, ob die Kette technisch geschlossen ist: DS-Algorithm matched einen KSK in der Zone (RFC 6840 § 5.2), keine deprecated Algorithmen oder Digest-Typen (RFC 8624), mindestens ein KSK vorhanden.

Wann brauche ich das?

Vor dem Veröffentlichen von TLSA-Records (DANE funktioniert nur auf signierten Zonen), nach einer Registrar-Key-Rotation, wenn das AD-Bit plötzlich aus Resolver-Antworten fällt, oder als jährlicher Sanity-Check, dass kein deprecated SHA-1/RSAMD5 reingerutscht ist.

Server-Pfad: Wir fragen DS, DNSKEY und A der Domain per DNS-over-HTTPS bei Cloudflare 1.1.1.1 (mit DNSSEC-OK-Flag) ab. Wir loggen weder Domain noch Ergebnis. Pro IP-Subnetz maximal 12 Anfragen pro Minute.

Beispiele: · ·