Will ein Benutzer eine Adresse wie www.google.de besuchen, führt die Anfrage in den meisten Fällen zum DNS-Resolver des eigenen ISPs. Der ist dann dafür verantwortlich, über rekursive DNS-Abfragen die Anwort stellvertretend für den Client zu ermitteln. Hierfür befragt der Resolver verschiedene DNS-Server und hangelt sich so von der DNS-Root-Zone bis zu der Zone, die über einen Eintrag für www.google.de verfügt. DNSSEC stellt sicher, dass die Antworten, die der DNS-Server erhält, auch authentisch sind und nicht verändert wurden. Die Information wird dann im DNS-Cache des Resolvers abgelegt und an den anfragenden Client geschickt. Dieser weiß nun, welche IP-Adresse sich hinter www.google.de verbirgt, und kann eine Verbindung zu dem System aufbauen. Etwas vereinfacht dargestellt sieht die Abfrage in etwa so aus, wie in Listing 1 dargestellt.
Listing 1: DNS-Abfrage von www.google.de
Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.