Hallo Mario,
On Sat, Dec 15, 2018 at 10:07:06PM +0100, Mario Blättermann wrote:
> #. type: Plain text
> msgid ""
> "DNSSEC requires knowledge of \"trust anchors\" to prove data integrity\\&. "
> "The trust anchor for the Internet root domain is built into the resolver, "
> "additional trust anchors may be defined with B<dnssec-trust-anchors."
> "d>(5)\\&. Trust anchors may change at regular intervals, and old trust "
> "anchors may be revoked\\&. In such a case DNSSEC validation is not possible "
> "until new trust anchors are configured locally or the resolver software "
> "package is updated with the new root trust anchor\\&. In effect, when the "
> "built-in trust anchor is revoked and I<DNSSEC=> is true, all further lookups "
> "will fail, as it cannot be proved anymore whether lookups are correctly "
> "signed, or validly unsigned\\&. If I<DNSSEC=> is set to \"allow-downgrade\" "
> "the resolver will automatically turn off DNSSEC validation in such a case\\&."
> msgstr ""
> "DNSSEC benötigt die Kenntnis von »Vertrauensankern«, um die Datenintegrität "
> "nachweisen zu können\\&. Der Vertrauensanker für die Internet-Wurzel-Domain "
> "ist in den Resolver eingebaut, zusätzliche Vertrauensanker können mittels "
> "B<dnssec-trust-anchors.d>(5) definiert werden\\&. Vertrauensanker können "
> "sich in regelmäßigen Intervallen ändern und alte Vertrauensanker können "
> "zurückgezogen werden\\&. In diesem Falle ist keine DNSSEC-Überprüfung "
> "möglich, bis lokal neue Vertrauensanker konfiguriert sind oder das Resolver-"
> "Softwarepaket mit dem neuen Wurzelvertrauensanker aktualisiert ist\\&. "
> "Tatsächlich werden alle zukünftigen Nachschlagungen fehlschlagen, wenn der "
> "eingebaute Vertrauensanker zurückgezogen wird und I<DNSSEC=> wahr ist, da "
> "nicht mehr nachgewiesen werden kann, ob Nachschlagungen korrekt signiert "
> "oder gültig nicht signiert sind\\&. Falls I<DNSSEC=> auf »allow-downgrade« "
> "gesetzt ist, wird der Resolver in diesem Fall automatisch die DNSSEC-"
> "Überprüfung abschalten\\&."
>
> Das verstehe ich schon im Original nicht: »validly unsigned«. Wie kann
> die Gültigkeit einer Signatur festgestellt werden, wenn gar keine da
> ist?
Teile des Netzes tragen ggf. keine Signatur, und das ist i.O.
(»validly unsigned«). Andere Teile müssen eine Tragen (es gibt einen
Vertrauensanker), d.h. wenn dort die Signatur fehlt, ist das nicht in
Ordnung.
> #. type: Plain text
> msgid ""
> "Site-private DNS zones generally conflict with DNSSEC operation, unless a "
> "negative (if the private zone is not signed) or positive (if the private "
> "zone is signed) trust anchor is configured for them\\&. If \"allow-downgrade"
> "\" mode is selected, it is attempted to detect site-private DNS zones using "
> "top-level domains (TLDs) that are not known by the DNS root server\\&. This "
> "logic does not work in all private zone setups\\&."
> msgstr ""
> "Site-private DNS-Zonen stehen im Allgemeinen mit DNSSEC im Konflikt, außer "
> "ein negativer (falls die private Zone nicht signiert ist) oder ein positiver "
> "(falls die private Zone signiert ist) Vertrauensanker ist für sie "
> "konfiguriert\\&. Falls der Modus »allow-downgrade« ausgewählt ist, wird "
> "versucht, alle Site-privaten DNS-Zonen zu erkennen, die oberste Domains "
> "(TLDs) verwenden, die dem DNS-Wurzelserver nicht bekannt sind\\&. Diese "
> "Logik funktioniert nicht in allen Installationen privater Zonen\\&."
>
> Das »site-private« könnte anscheinend einfach mit »privat« übersetzt
> werden. Ich habe dazu etwas gefunden:
> https://docs.microsoft.com/de-de/azure/dns/private-dns-overview
> Ist zwar von Microsoft, aber egal. Ich halte die Formulierung
> site-private für eine Marotte des Originalautors.
Ich merke das an.
> oberste Domains → Top-Level-Domains
> (halte ich für einen gängigen Begriff, der die Endung bezeichnet, z.B.
> *.com oder *.de)
Ergänzt.
> #. type: Plain text
> msgid "Defaults to off\\&."
> msgstr "Standardmäßig aus\\&."
>
> Das wirkt irgendwie unvollständig.
> Standardmäßig aus → Ist standardmäßig ausgeschaltet
Die Langform hat keine Mehrinformationen.
> #. type: Plain text
> msgid ""
> "Note as the resolver is not capable of authenticating the server, it is "
> "vulnerable for \"man-in-the-middle\" attacks\\&."
> msgstr ""
> "Beachten Sie, dass der Resolver nicht in der Lage ist, den Server zu "
> "authentifizieren, er ist für »man-in-the-middle«-Angriffe verwundbar\\&."
>
> Zum Thema gibt es eine Wikipedia-Seite:
> https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
> Die Anführungszeichen wären also entbehrlich.
Ja, aber das Original zitiert auch und ganz falsch finde ich es nicht.
> #. type: Plain text
> msgid ""
> "In addition to this global DNSOverTLS setting B<systemd-networkd."
> "service>(8) also maintains per-link DNSOverTLS settings\\&. For system DNS "
> "servers (see above), only the global DNSOverTLS setting is in effect\\&. For "
> "per-link DNS servers the per-link setting is in effect, unless it is unset "
> "in which case the global setting is used instead\\&."
> msgstr ""
> "Zusätzlich zu dieser globalen DNSOverTLS-Einstellung betreut B<systemd-"
> "networkd.service>(8) auch link-lokale DNSOverTLS-Einstellungen\\&. Für "
> "System-DNS-Server (siehe oben) ist nur die globale DNSOverTLS-Einstellung in "
> "Effekt\\&. Für link-bezogene DNS-Server ist die link-bezogene Einstellung in "
> "Effekt, außer sie wird zurückgesetzt, dann wird stattdessen die globale "
> "Einstellung verwandt\\&."
>
> Weiter oben hast du DNSOverTLS übersetzt, warum hier nicht?
Weiter oben steht DNS-over-TLS, hier, so habe ich es interpretiert,
ist eine Einstellung gemeint. Aber sicher bin ich mir nicht. Ist aber
anders geschrieben.
Alles nicht kommentierte habe ich übernommen.
Vielen Dank & Grüße
Helge
--
Dr. Helge Kreutzmann debian@helgefjell.de
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: Digital signature