## 20200114 AK

[[HowToDocuments/FingerprintsViaDNSSEC/CZ|česky]] | [[HowToDocuments/FingerprintsViaDNSSEC/CY|cymraeg]] | '''deutsch''' | [[HowToDocuments/FingerprintsViaDNSSEC|english]] | [[HowToDocuments/FingerprintsViaDNSSEC/ES|español]] | [[HowToDocuments/FingerprintsViaDNSSEC/FR|français]] | [[HowToDocuments/FingerprintsViaDNSSEC/NL|nederlands]] | [[HowToDocuments/FingerprintsViaDNSSEC/PT|português]] --- [[HowToDocuments/DE|noch mehr Schritt-für-Schritt-Anleitungen]]


== Validierung der Fingerprints der Stammzertifikate mit DNSSEC ==

Zur Validerung der heruntergeladenen Stammzertifikate können DNSSEC-gesicherte TXT-Records in der Domain cacert.org genutzt werden.

Der Namensraum _fp.cacert.org. ist für Fingerprints unserer Stammzertifikate reserviert. Dank DNSSEC können hier authentifizierte Kopien der Fingerprints heruntergeladen werden. Die nötigen URLs für den Download sind ebenfalls hinterlegt. Für jede Generation unserer Root-Zertifikate (bisher existiert nur Generation 1 ("g1")) existiert ein Unterbaum. Verfügbare Zertifikate jeder Generation stehen als TXT-Record _certs zur Verfügung:
_certs.g1._fp.cacert.org. liefert einem "root class3"
Mit diesen Namen können jeweils _url (Download-Link), _md5, _sha1, _sha256 (Fingerprint in Großbuchstaben, ohne Trennzeichen) abgefragt werden.

Den Link zum Root-Zertifikat bekommt man via TXT-Record unter  _url.root_X0F.g1._fp.cacert.org. und kann den zugehörigen SHA256-Fingerprint abrufen im TXT-Record unter _sha256.root_X0F.g1._fp.cacert.org.

Hier ein Beispiel für die Validierung unter Linux. Für die produktive Nutzung IST sicherstellen, dass die beiden DNS-Records vor Verwendung validiert werden. Dies kann durch die Installation eines Validating Stub Resolver erreicht werden [1, 2]. Hierbei sollten in jedem Fall auch die Hinweise zum Thema DNSSEC-Setup der jeweiligen Distribution beachtet werden.



{{{

$ host -t TXT _url.root_X0F.g1._fp.cacert.org.
_url.root_X0F.g1._fp.cacert.org descriptive text "http://www.cacert.org/certs/root_X0F.crt"
$ host -t TXT _sha256.root_X0F.g1._fp.cacert.org.
_sha256.root_X0F.g1._fp.cacert.org descriptive text "07EDBD824A4988CFEF4215DA20D48C2B41D71529D7C900F570926F277CC230C5"
$ wget -O root_X0F.crt 'http://www.cacert.org/certs/root_X0F.crt'
$ openssl x509 -in root_X0F.crt -noout -fingerprint -sha256 | tr -d :
SHA256 Fingerprint=07EDBD824A4988CFEF4215DA20D48C2B41D71529D7C900F570926F277CC230C5

}}}


[1] [http://askubuntu.com/questions/51367/how-do-i-configure-my-caching-nameserver-to-validate-dnssec]

[2] [https://wiki.debian.org/DNSSEC]




----
 . CategoryTutorials
 . CategoryStepByStep