Verwendung
Beachten Sie, dass Hetzner aktuell nur DS-Records anbietet, jedoch keine DNSKEY-Records.
Ein DS-Record enthält einen Hash des öffentlichen KSK (Key Signing Key) der Child-Zone, sowie den Algorithmus, der zur Erstellung dieses Hashes verwendet wurde.
Beispiel:
| Typ | Name (use @ for root) | Tag / ID | Verschlüsselung | Hash-Typ | Hash | TTL |
|---|---|---|---|---|---|---|
| DS | @ | 60485 | ED25519 | SHA-256 | 3A5F2B9D7C1E8F4A2B6D7E9C0F1A2B3C4D5E6F7A8B9C0D1E2F3A4B5C6D7E8F9 |
Parent-ZoneChild-Zone.com
DSexample.com<hashed-pubksk>
example.com
DNSKEY@<plaintext-pubksk>
Beschreibung
Ein DS-Record ist notwendig für die DNSSEC-Validierung, um den "Chain of Trust" aufrecht zu erhalten. Eine detaillierte Erklärung, wie genau die DNSSEC-Validierung funktioniert, finden Sie in dem Artikel "Technische Konzepte".
Bei einem DS-Record spielen zwei Zonen eine Rolle:
- Eine Child-Zone, welche einen DNSKEY-Record für den öffentlichen KSK (Key Signing Key) besitzt.
- Eine Parent-Zone, welche einen DS-Record für den öffentlichen KSK der Child-Zone als Hash besitzt.
In einem DS-Record müssen folgende Informationen angegeben werden:
- Tag/ID: Dieser wird mittels eines Algorithmus automatisch aus dem öffentlichen KSK berechnet. Es hilft DNS-Resolvern dabei, den richtigen DNSKEY unter möglicherweise vielen DNSKEY-Records in der Child-Zone schnell zu finden.
- Verschlüsselung: Gibt an, welcher Algorithmus für das Generieren des KSK-Paares (privater und öffentlicher KSK) der Child-Zone verwendet wurde.
- Hash-Typ: Gibt an, welcher Hash-Algorithmus verwendet wurde, um den Hash des öffentlichen KSK zu erstellen.
- Hash: Der öffentliche KSK als Hash.