Was ist eine Vertrauenskette?
Eine Vertrauenskette besteht bei DNSSEC aus einer hierarchischen Abfolge von DNSKEY-Records und DS-Records (Delegation Signer). Die Kette beginnt mit einem DNSKEY, dem der Resolver vertraut. Dieser kann entweder fest konfiguriert werden oder aus einem Repository bezogen werden, dem vertraut wird. Mit diesem DNSKEY ist auf dem Weg zur nächsten Hierarchieebene ein DS-Record signiert, der einen Hashwert des untergeordneten DNSKEYs enthält. Durch den Hashwert kann verifiziert werden, dass der von der untergeordneten Zone bezogene DNSKEY korrekt ist und die übergeordnete Zone diesen DNSKEY als vertrauenswürdig einstuft. Auf diese Weise setzt sich eine Vertrauenskette fort, bis die angefragte Ebene/Zone im DNS-Baum erreicht ist.