Cloudflare Docs
Support
Cloudflare Docs
Support
GitHub icon
Visit Support on GitHub
Set theme to dark (⇧+D)

Fehlerbehebung bei DNSSEC

​​ Testen von DNSSEC mit Dig

Dig ist ein Befehlszeilentool zum Abfragen eines Nameservers nach DNS-Einträgen. Beispielsweise kann dig einen DNS-Resolver nach der IP-Adresse von www.cloudflare.com fragen. (Die Option + short gibt nur das Ergebnis aus):

$ dig www.cloudflare.com +short198.41.215.162198.41.214.162

Verwenden Sie dig, um DNSSEC-Einträge zu überprüfen.  Im folgenden Beispiel ist

$ dig www.cloudflare.com +dnssec +short198.41.214.162198.41.215.162A 13 3 300 20180927180434 20180925160434 35273 cloudflare.com. DYYZ/bhHSAIlpvu/HEUsxlzkC9NsswbCQ7dcfcuiNBrbhYV7k3AI8t46 QMnOlfhwT6jqsfN7ePV6Fwpym3B0pg==

den öffentlichen Schlüssel der Stammdomain und nicht den öffentlichen Schlüssel der Subdomain ab: 

$ dig DNSKEY cloudflare.com +short257 3 13 mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+ KkxLbxILfDLUT0rAK9iUzy1L53eKGQ==256 3 13 koPbw9wmYZ7ggcjnQ6ayHyhHaDNMYELKTqT+qRGrZpWSccr/lBcrm10Z 1PuQHB3Azhii+sb0PYFkH1ruxLhe5g==

Die DNS-Antwort enthält zwei Einträge:

  • Der DNSKEY-Eintrag 256 ist der öffentliche Schlüssel mit der Bezeichnung Zone-Signing Key, der zum Überprüfen der DNS-Eintragssignaturen für A, MX, CNAME, SRV usw. verwendet wird.
  • Der

Wenn Sie die Option + short mit dig nicht verwenden, wird eine DNS-Antwort DNSSEC-authentifiziert, wenn das Flag ad im Antwortheader angezeigt wird:

$ dig www.cloudflare.com[...];; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65326;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 [...] ;; QUESTION SECTION: ;www.cloudflare.com.        IN  A [...] ;; ANSWER SECTION: www.cloudflare.com. 15  IN  A   198.41.215.162 www.cloudflare.com. 15  IN  A   198.41.214.162

​​ Anzeigen der DNSSEC-Vertrauenskette mit Dig

Die vollständige Überprüfung von Domainsignaturen (zum Beispiel: cloudflare.com) umfasst die Überprüfung des Key-Signing Keys in der Top-Level-Domain (zum Beispiel: .com).  Eine ähnliche Überprüfung wird

Wenn DNSSEC aktiviert ist, ist ein DS-Eintrag im DNS des Registrars erforderlich. Der DS-Eintrag enthält einen Hash des öffentlichen Key-Signing Keys sowie Metadaten zum Schlüssel.

Verwenden Sie dig, um einen DS-Eintrag zu finden:

$ dig +short DS cloudflare.com2371 13 2 32996839A6D808AFE3EB4A795A0E6A7A39A76FC52FF228B22B76F6D6 3826F2B9