Über dnssec-test.eu

Warum gibt es das?

Es gibt DNSSEC-Testzonen — sie prüfen ob ein Resolver grundsätzlich reagiert. Was fehlt: eine Infrastruktur die dokumentiert gegen welche Norm-Version sie testet, deren Zonen versioniert bleiben wenn sich Normen ändern, und die einen nachvollziehbaren Konformitätsnachweis produziert statt nur "hat funktioniert".

Wer heute einen Resolver baut und dessen Konformität belegen will, kann das nicht auf eine externe Quelle zurückführen die unabhängig, versioniert und normativ verankert ist.

dnssec-test.eu entstand zunächst aus eigenem Bedarf — und wird als öffentlicher Dienst betrieben, weil der Bedarf allgemein ist.

Das Prinzip

Das Vertrauen gründet nicht auf der Person des Betreibers, sondern auf der Methode. Alle Quellen, Schlussfolgerungen und Prüfschritte sind offen dokumentiert. Wer die gleichen Normen liest und die gleiche Logik anwendet, kommt zum gleichen Ergebnis.

Normative Grundlagen

• RFC 4033/4034/4035 — DNSSEC-Kern
• RFC 5155 — NSEC3
• RFC 9904 — Aktuelle Algorithmus-Empfehlungen
• RFC 9905 — SHA-1 Deprecation
• IANA DNSSEC Algorithm Numbers Registry

Der vollständige Normen-Katalog und alle Entscheidungen sind im Projektrepo dokumentiert.

Betrieb

Betrieben von Jürgen Waibel. Infrastruktur: zwei unabhängige Nameserver an zwei europäischen Standorten. Schlüssel werden ausschließlich lokal erzeugt und signiert — kein privater Schlüssel verlässt die Signing-Umgebung.