Testzonen
Jede Zone hat einen normativen Anker (RFC, IANA-Registry) und ist versioniert.
Unversionierte Namen (alg8.dnssec-test.eu) zeigen immer auf die
aktuellste Version. Versionierte Namen (v1.alg8.dnssec-test.eu)
sind dauerhaft stabil — Zertifikate referenzieren immer den versionierten Namen.
Die Zonen sind noch nicht live — dnssec-test.eu befindet sich im Aufbau. Exakte Zonennamen werden mit dem Anforderungskatalog (S2) finalisiert. Stand und Fortschritt im Projektrepo.
Korrekte Zonen — aktuelle Algorithmen
Erwartetes Resolver-Verhalten: SECURE (AD-Flag gesetzt)
| Zone | Algorithmus | Normative Grundlage |
|---|---|---|
| alg8.dnssec-test.eu | RSA/SHA-256 (Alg 8) | RFC 9904, IANA Registry |
| alg13.dnssec-test.eu | ECDSA P-256/SHA-256 (Alg 13) | RFC 9904, IANA Registry |
| alg14.dnssec-test.eu | ECDSA P-384/SHA-384 (Alg 14) | RFC 9904, IANA Registry |
| alg15.dnssec-test.eu | Ed25519 (Alg 15) | RFC 9904, IANA Registry |
Fehlerzonen — abgelaufene Signaturen
Erwartetes Resolver-Verhalten: BOGUS / SERVFAIL
| Zone | Fehlerzustand | Normative Grundlage |
|---|---|---|
| expired.alg8.dnssec-test.eu | RRSIG-Gültigkeitszeitraum abgelaufen | RFC 4035 §5.3.5 |
| expired.alg13.dnssec-test.eu | RRSIG-Gültigkeitszeitraum abgelaufen | RFC 4035 §5.3.5 |
Fehlerzonen — fehlende Signatur
Erwartetes Resolver-Verhalten: BOGUS / SERVFAIL
| Zone | Fehlerzustand | Normative Grundlage |
|---|---|---|
| nosig.dnssec-test.eu | RRSIG fehlt vollständig | RFC 4035 §5.3 |
Fehlerzonen — verbotene Algorithmen
Erwartetes Resolver-Verhalten: BOGUS / SERVFAIL
| Zone | Algorithmus | Grund | Normative Grundlage |
|---|---|---|---|
| alg1.dnssec-test.eu | RSAMD5 (Alg 1) | MD5 kryptographisch gebrochen | RFC 9904 — MUST NOT |
| alg3.dnssec-test.eu | DSA/SHA-1 (Alg 3) | DSA unsicher | RFC 9904 — MUST NOT |
| alg5.dnssec-test.eu | RSASHA1 (Alg 5) | SHA-1 depreciert | RFC 9905 — MUST NOT |
| alg7.dnssec-test.eu | RSASHA1-NSEC3-SHA1 (Alg 7) | SHA-1 depreciert | RFC 9905 — MUST NOT |
Fehlerzonen — Chain of Trust
Erwartetes Resolver-Verhalten variiert je nach Fehlerzustand
| Zone | Fehlerzustand | Normative Grundlage | Erwartet |
|---|---|---|---|
| nodelegation.dnssec-test.eu | Kein DS-Record in der Elternzone | RFC 4035 §5 | INSECURE |
| brokends.dnssec-test.eu | DS-Hash stimmt nicht mit DNSKEY überein | RFC 4035 §5.3.2 | BOGUS |
| expiredds.dnssec-test.eu | DS zeigt auf abgelaufenen/ungültigen Schlüssel | RFC 4035 §5.3.2 | BOGUS |
Denial of Existence — NSEC und NSEC3
Erwartetes Resolver-Verhalten: korrekte NXDOMAIN-Antwort mit Authenticated Denial
| Zone | Methode | Normative Grundlage |
|---|---|---|
| nsec.dnssec-test.eu | NSEC — klassische Denial-of-Existence | RFC 4034 §4, RFC 4035 §5.4 |
| nsec3.dnssec-test.eu | NSEC3 — gehashte Denial-of-Existence | RFC 5155 |
Wildcard-Records
Erwartetes Resolver-Verhalten: SECURE für synthetisierte Wildcard-Antwort
| Zone | Szenario | Normative Grundlage |
|---|---|---|
| wildcard.dnssec-test.eu | Korrekt signierte Wildcard-Zone | RFC 4035 §5.3.4 |