Network Working Group O. Gudmundsson
Request for Comments: 3658 December 2003
Updates: 3090, 3008, 2535, 1035
Category: Standards Track
Delegation Signer (DS) Resource Record (RR)
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
Abstract
抽象
The delegation signer (DS) resource record (RR) is inserted at a zone cut (i.e., a delegation point) to indicate that the delegated zone is digitally signed and that the delegated zone recognizes the indicated key as a valid zone key for the delegated zone. The DS RR is a modification to the DNS Security Extensions definition, motivated by operational considerations. The intent is to use this resource record as an explicit statement about the delegation, rather than relying on inference.
委任されたゾーンがデジタル署名されていることを委任署名者(DS)リソースレコード(RR)を示すために、ゾーンカット(すなわち、委任点)に挿入され、委任されたゾーンは、委任の有効なゾーンキーとして指示キーを認識することゾーン。 DS RRは、運用の考慮によって動機づけDNSセキュリティ拡張の定義に変更、です。その意図は、むしろ推測に頼るよりも、委任に関する明確な声明として、このリソースレコードを使用することです。
This document defines the DS RR, gives examples of how it is used and describes the implications on resolvers. This change is not backwards compatible with RFC 2535. This document updates RFC 1035, RFC 2535, RFC 3008 and RFC 3090.
この文書では、DS RRを定義し、それがどのように使われるかの例を与え、リゾルバの意味を説明しています。この変更は、RFC 2535このドキュメントのアップデートRFC 1035、RFC 2535、RFC 3008およびRFC 3090との下位互換性がありません。
Table of Contents
目次
1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2. Reserved Words. . . . . . . . . . . . . . . . . . . . . 4
2. Specification of the Delegation key Signer. . . . . . . . . . 4
2.1. Delegation Signer Record Model. . . . . . . . . . . . . 4
2.2. Protocol Change . . . . . . . . . . . . . . . . . . . . 5
2.2.1. RFC 2535 2.3.4 and 3.4: Special Considerations
at Delegation Points . . . . . . . . . . . . . 6
2.2.1.1. Special processing for DS queries. . . 6
2.2.1.2. Special processing when child and an
ancestor share nameserver. . . . . . . 7
2.2.1.3. Modification on use of KEY RR in the
construction of Responses. . . . . . . 8
2.2.2. Signer's Name (replaces RFC3008 section 2.7). . 9
2.2.3. Changes to RFC 3090 . . . . . . . . . . . . . . 9
2.2.3.1. RFC 3090: Updates to section 1:
Introduction . . . . . . . . . . . . . 9
2.2.3.2. RFC 3090 section 2.1: Globally
Secured. . . . . . . . . . . . . . . . 10
2.2.3.3. RFC 3090 section 3: Experimental
Status . . . . . . . . . . . . . . . . 10
2.2.4. NULL KEY elimination. . . . . . . . . . . . . . 10
2.3. Comments on Protocol Changes. . . . . . . . . . . . . . 10
2.4. Wire Format of the DS record. . . . . . . . . . . . . . 11
2.4.1. Justifications for Fields . . . . . . . . . . . 12
2.5. Presentation Format of the DS Record. . . . . . . . . . 12
2.6. Transition Issues for Installed Base. . . . . . . . . . 12
2.6.1. Backwards compatibility with RFC 2535 and
RFC 1035. . . . . . . . . . . . . . . . . . . . 12
2.7. KEY and corresponding DS record example . . . . . . . . 13
3. Resolver. . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.1. DS Example" . . . . . . . . . . . . . . . . . . . . . . 14
3.2. Resolver Cost Estimates for DS Records" . . . . . . . . 15
4. Security Considerations . . . . . . . . . . . . . . . . . . . 15
5. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 16
6. Intellectual Property Statement . . . . . . . . . . . . . . . 16
7. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 17
8. References. . . . . . . . . . . . . . . . . . . . . . . . . . 17
8.1. Normative References. . . . . . . . . . . . . . . . . . 17
8.2. Informational References. . . . . . . . . . . . . . . . 17
9. Author's Address. . . . . . . . . . . . . . . . . . . . . . . 18
10. Full Copyright Statement. . . . . . . . . . . . . . . . . . . 19
Familiarity with the DNS system [RFC1035], DNS security extensions [RFC2535], and DNSSEC terminology [RFC3090] is important.
DNSシステム[RFC1035]、DNSセキュリティ拡張[RFC2535]、およびDNSSECの用語[RFC3090]に精通していることが重要です。
Experience shows that when the same data can reside in two administratively different DNS zones, the data frequently gets out of sync. The presence of an NS RRset in a zone anywhere other than at the apex indicates a zone cut or delegation. The RDATA of the NS RRset specifies the authoritative nameservers for the delegated or "child" zone. Based on actual measurements, 10-30% of all delegations on the Internet have differing NS RRsets at parent and child. There are a number of reasons for this, including a lack of communication between parent and child and bogus name servers being listed to meet registry requirements.
経験は、同じデータが2つの異なる管理DNSゾーンに存在することができる場合、データが頻繁に同期して取得することを示しています。頂点以外の場所ゾーンにおけるNS資源レコード集合の存在は、ゾーンカットまたは委任を示しています。 NS RRセットのRDATAは、委任または「子」ゾーンの権限ネームサーバを指定します。実際の測定に基づいて、インターネット上のすべての代表団の10から30パーセントは、親と子でNS RRセットが異なっています。親と子とレジストリの要件を満たすためにリストされ偽のネームサーバ間のコミュニケーション不足など、その理由の数があります。
DNSSEC [RFC2535, RFC3008, RFC3090] specifies that a child zone needs to have its KEY RRset signed by its parent to create a verifiable chain of KEYs. There has been some debate on where the signed KEY RRset should reside, whether at the child [RFC2535] or at the parent. If the KEY RRset resides at the child, maintaining the signed KEY RRset in the child requires frequent two-way communication between the two parties. First, the child transmits the KEY RRset to the parent and then the parent sends the signature(s) to the child. Storing the KEY RRset at the parent was thought to simplify the communication.
DNSSEC [RFC2535、RFC3008、RFC3090]は、子ゾーンはキーの検証チェーンを作成するために、親が署名したそのKEY RRセットを持っている必要があることを指定します。署名KEY RRセットは子供で[RFC2535]かどうかの親で、常駐している必要がありどこにいくつかの議論がありました。 KEY RRセットが子供に常駐する場合は、子に署名KEY RRセットを維持することが二者間の頻繁な双方向通信が必要です。まず、子供が親の鍵資源レコード集合を送信した後、親は子に署名(S)を送信します。親でKEY RRセットを保存するには、通信を簡素化するために考えられていました。
DNSSEC [RFC2535] requires that the parent store a NULL KEY record for an unsecure child zone to indicate that the child is unsecure. A NULL KEY record is a waste: an entire signed RRset is used to communicate effectively one bit of information - that the child is unsecure. Chasing down NULL KEY RRsets complicates the resolution process in many cases, because nameservers for both parent and child need to be queried for the KEY RRset if the child nameserver does not return it. Storing the KEY RRset only in the parent zone simplifies this and would allow the elimination of the NULL KEY RRsets entirely. For large delegation zones, the cost of NULL keys is a significant barrier to deployment.
DNSSEC [RFC2535]は、親は子供が安全でないであることを示すために、安全でない子ゾーンにNULL KEYレコードを保存することが必要です。 NULLのKEYレコードが廃棄物である:全体の署名されたRRセットを効果的に1ビットの情報の通信に使用されている - 子供が非セキュアであることを。子ネームサーバがそれを返さない場合は、親と子の両方のためのネームサーバは、KEY RRセットを照会する必要があるため、NULL KEY RRセットを追いかけことは、多くの場合、解決プロセスを複雑にします。唯一の親ゾーンでKEY RRセットを格納することは、これを単純化し、完全にNULLのKEYのRRセットの除去を可能にします。大委任ゾーンの場合、NULLキーのコストは、展開に大きな障壁となっています。
Prior to the restrictions imposed by RFC 3445 [RFC3445], another implication of the DNSSEC key model is that the KEY record could be used to store public keys for other protocols in addition to DNSSEC keys. There are a number of potential problems with this, including:
RFC 3445 [RFC3445]によって課される制限の前に、DNSSECキーモデルの別の意味は、キーレコードがDNSSECキーに加えて、他のプロトコルの公開鍵を格納するために使用することができることです。この、を含む潜在的な問題がいくつかあります:
1. The KEY RRset can become quite large if many applications and protocols store their keys at the zone apex. Possible protocols are IPSEC, HTTP, SMTP, SSH and others that use public key cryptography.
多くのアプリケーションやプロトコルがゾーンの頂点にその鍵を格納する場合1. KEY RRセットは非常に大きくなることができます。可能なプロトコルは、公開鍵暗号を使用しIPSEC、HTTP、SMTP、SSHなどです。
2. The KEY RRset may require frequent updates.
2. KEY RRセットは、頻繁な更新が必要な場合があります。
3. The probability of compromised or lost keys, which trigger emergency key roll-over procedures, increases.
3.エマージェンシーキーロールオーバの手順、増加を誘発損なわれ又は失われたキーの確率。
4. The parent may refuse to sign KEY RRsets with non-DNSSEC zone keys.
4.親は非DNSSECゾーンキーでKEY RRセットに署名することを拒否することができます。
5. The parent may not meet the child's expectations of turnaround time for resigning the KEY RRset.
5.親がKEY RRセットを辞職のためのターンアラウンドタイムの子供の期待を満たしていない場合があります。
Given these reasons, SIG@parent isn't any better than SIG/KEY@Child.
これらの理由を考えると、SIGの@の親は子供@任意のSIGよりも良い/ KEYではありません。
The key words "MAY", "MAY NOT", "MUST", "MUST NOT", "REQUIRED", "RECOMMENDED", "SHOULD", and "SHOULD NOT" in this document are to be interpreted as described in BCP 14, RFC 2119 [RFC2119].
キー、 "推奨" 言葉 "MAY"、 "ないかもしれない"、 "MUST"、 "MUST NOT"、 "REQUIRED"、 "SHOULD"、および本文書にBCP 14に記載されているように解釈されるべきであり、 "すべきではありません" 、RFC 2119 [RFC2119]。
This section defines the Delegation Signer (DS) RR type (type code 43) and the changes to DNS to accommodate it.
このセクションでは、委任署名者(DS)RRタイプ(タイプコード43)とそれに対応するDNSへの変更を定義します。
This document presents a replacement for the DNSSEC KEY record chain of trust [RFC2535] that uses a new RR that resides only at the parent. This record identifies the key(s) that the child uses to self-sign its own KEY RRset.
この文書では、親に存在新しいRRを使用して、信頼のDNSSEC KEYレコード・チェーン[RFC2535]の代替を提供します。このレコードは、子供が自己署名し、自身のKEY RRセットをするために使用するキー(複数可)を識別します。
Even though DS identifies two roles for KEYs, Key Signing Key (KSK) and Zone Signing Key (ZSK), there is no requirement that zone uses two different keys for these roles. It is expected that many small zones will only use one key, while larger zones will be more likely to use multiple keys.
DSは、キーのための2つの役割を識別するキー署名キー(KSK)とゾーンキー(ZSK)の署名にもかかわらず、ゾーンはこれらの役割のための2つの異なる鍵を使用する必要はありません。大きなゾーンは、複数のキーを使用する可能性が高くなりますしながら、多くの小さなゾーンは唯一、一つのキーを使用することが期待されます。
The chain of trust is now established by verifying the parent KEY RRset, the DS RRset from the parent and the KEY RRset at the child. This is cryptographically equivalent to using just KEY records.
信頼の連鎖は、今の子供の親KEY RRセット、親からのDS RRセットおよびKEY RRセットを検証することにより確立されています。これは単にKEYレコードを使用する暗号技術と同等です。
Communication between the parent and child is greatly reduced, since the child only needs to notify the parent about changes in keys that sign its apex KEY RRset. The parent is ignorant of all other keys in the child's apex KEY RRset. Furthermore, the child maintains full control over the apex KEY RRset and its content. The child can maintain any policies regarding its KEY usage for DNSSEC with minimal impact on the parent. Thus, if the child wants to have frequent key roll-over for its DNS zone keys, the parent does not need to be aware of it. The child can use one key to sign only its apex KEY RRset and a different key to sign the other RRsets in the zone.
子供だけでその頂点KEY RRセットに署名鍵の変化について親に通知する必要があるため、親と子の間の通信は大幅に軽減されます。親は子の頂点KEY RRセット内の他のすべてのキーの無知です。さらに、子供が頂点KEY RRセットし、その内容を完全に制御を維持します。子供は親への影響を最小限に抑えてDNSSECのためにそのKEYの使用に関するいかなる政策を維持することができます。子供がそのDNSゾーン鍵の頻繁なキーロールオーバーを持っているしたい場合はこのように、親はそれを意識する必要はありません。子供はその頂点KEY RRセット、ゾーン内の他のRRセットに署名するための別のキーに署名する一つのキーを使用することができます。
This model fits well with a slow roll out of DNSSEC and the islands of security model. In this model, someone who trusts "good.example." can preconfigure a key from "good.example." as a trusted key, and from then on trusts any data signed by that key or that has a chain of trust to that key. If "example." starts advertising DS records, "good.example." does not have to change operations by suspending self-signing. DS records can be used in configuration files to identify trusted keys instead of KEY records. Another significant advantage is that the amount of information stored in large delegation zones is reduced: rather than the NULL KEY record at every unsecure delegation demanded by RFC 2535, only secure delegations require additional information in the form of a signed DS RRset.
このモデルは、DNSSECのうちスローロールとセキュリティモデルの島々とよく合います。このモデルでは、信頼誰か「good.exampleを。」鍵を事前に設定することができます「good.example。」信頼されたキーと、そのキーで署名されたデータの信頼関係上、その後のか、それはそのキーへの信頼の連鎖を持っています。 「例」の場合、DSレコードを宣伝を開始する "good.example。"自己署名を懸濁することによって、操作を変更する必要はありません。 DSレコードは、信頼できるキーの代わりにKEYレコードを識別するために、構成ファイルで使用することができます。むしろ、RFC 2535で要求されるすべてのセキュリティ保護されていない委任にNULL KEYレコードよりも、唯一の安全な代表団が署名したDS RRセットの形で追加の情報を必要とします。別の重要な利点は、大規模な代表団のゾーンに格納されている情報の量が減少することです。
The main disadvantage of this approach is that verifying a zone's KEY RRset requires two signature verification operations instead of the one in RFC 2535 chain of trust. There is no impact on the number of signatures verified for other types of RRsets.
このアプローチの主な欠点は、ゾーンのKEY RRセットを検証する2つの署名検証動作の代わりに、信頼のRFC 2535チェーン内の1つを必要とすることです。 RRセットの他のタイプの検証署名の数には影響はありません。
All DNS servers and resolvers that support DS MUST support the OK bit [RFC3225] and a larger message size [RFC3226]. In order for a delegation to be considered secure the delegation MUST contain a DS RRset. If a query contains the OK bit, a nameserver returning a referral for the delegation MUST include the following RRsets in the authority section in this order:
DSをサポートするすべてのDNSサーバとリゾルバは、[RFC3225]と大きなメッセージサイズ[RFC3226]を[OK]ビットをサポートしなければなりません。考慮すべき委任ためには代表団はDS RRセットを含まなければならない固定します。クエリがOKビットが含まれている場合は、委任のための紹介を返すネームサーバがこの順で権威セクションに次のRRsetを含める必要があります。
If DS RRset is present: parent's copy of child's NS RRset DS and SIG(DS)
DS RRセットが存在する場合:子のNS RRセットDSとSIG(DS)の親のコピー
If no DS RRset is present: parent's copy of child's NS RRset parent's zone NXT and SIG(NXT)
何のDS RRセットが存在しない場合は、次の子のNS RRセットの親のゾーンNXTとSIG(NXT)の親のコピー
This increases the size of referral messages, possibly causing some or all glue to be omitted. If the DS or NXT RRsets with signatures do not fit in the DNS message, the TC bit MUST be set. Additional section processing is not changed.
これはおそらく省略するためにいくつかまたは全ての接着剤を引き起こし、紹介メッセージのサイズが大きくなります。署名とDSやNXTのRRセットは、DNSメッセージに収まらない場合は、TCビットを設定しなければなりません。追加のセクション処理は変更されません。
A DS RRset accompanying a NS RRset indicates that the child zone is secure. If a NS RRset exists without a DS RRset, the child zone is unsecure (from the parents point of view). DS RRsets MUST NOT appear at non-delegation points or at a zone's apex.
NS RRセットを伴うDS RRセットは、子ゾーンが安全であることを示しています。 NS RRセットはDS RRセットせずに存在している場合は、子ゾーンは、(ビューの親点から)保護されていないです。 DS RRセットは、非委任ポイントでまたはゾーンの頂点に現れてはなりません。
Section 2.2.1 defines special considerations related to authoritative nameservers responding to DS queries and replaces RFC 2535 sections 2.3.4 and 3.4. Section 2.2.2 replaces RFC 3008 section 2.7, and section 2.2.3 updates RFC 3090.
セクション2.2.1は、DSの問い合わせに応答する権限ネームサーバに関連する特別な考慮事項を定義し、RFC 2535個のセクション2.3.4と3.4を置き換えます。 2.2.2項は、RFC 3008のセクション2.7、およびセクション2.2.3のアップデートをRFC 3090に置き換えられます。
2.2.1. 2.3.4 and 3.4: Special Considerations at Delegation Points
2.2.1. 2.3.4と3.4:委任ポイントでの特別な考慮事項
DNS security views each zone as a unit of data completely under the control of the zone owner with each entry (RRset) signed by a special private key held by the zone manager. But the DNS protocol views the leaf nodes in a zone that are also the apex nodes of a child zone (i.e., delegation points) as "really" belonging to the child zone. The corresponding domain names appear in two master files and might have RRsets signed by both the parent and child zones' keys. A retrieval could get a mixture of these RRsets and SIGs, especially since one nameserver could be serving both the zone above and below a delegation point [RFC2181].
DNSセキュリティは完全にゾーン・マネージャによって保持された特別な秘密鍵によって署名された各エントリ(RRセット)を持つゾーン所有者の制御の下でデータの単位として各ゾーンを表示します。しかし、DNSプロトコルは、「本当に」子ゾーンに属するものとしても子ゾーン(すなわち、委任ポイント)の頂点ノードであり、ゾーン内のリーフノードを表示します。対応するドメイン名は、2つのマスターファイルに表示され、両方の親と子のゾーンキーにより署名されたRRセットを持っているかもしれません。検索は、一つネームサーバがゾーン委任点[RFC2181]の上方及び下方の両方配信することができ、特に以来、これらの資源レコード集合とのSIGの混合物を得ることができます。
Each DS RRset stored in the parent zone MUST be signed by at least one of the parent zone's private keys. The parent zone MUST NOT contain a KEY RRset at any delegation point. Delegations in the parent MAY contain only the following RR types: NS, DS, NXT and SIG. The NS RRset MUST NOT be signed. The NXT RRset is the exceptional case: it will always appear differently and authoritatively in both the parent and child zones, if both are secure.
親ゾーンに保存された各DS RRセットは親ゾーンの秘密鍵のうちの少なくとも1つによって署名されなければなりません。親ゾーンには、任意の委任ポイントでKEY RRセットを含めることはできません。 NS、DS、NXTとSIG:親での代表団は、次のRRタイプを含むかもしれません。 NS RRセットが署名してはなりません。 NXT RRセットは例外的なケースである:両方が安全であるならば、それは常に、親と子の両方のゾーンで異なると権威表示されます。
A secure zone MUST contain a self-signed KEY RRset at its apex. Upon verifying the DS RRset from the parent, a resolver MAY trust any KEY identified in the DS RRset as a valid signer of the child's apex KEY RRset. Resolvers configured to trust one of the keys signing the KEY RRset MAY now treat any data signed by the zone keys in the KEY RRset as secure. In all other cases, resolvers MUST consider the zone unsecure.
安全なゾーンは、その頂点に自己署名KEY RRセットを含まなければなりません。親からDS RRセットを検証する際に、リゾルバは、子供の頂点KEY RRセットの有効な署名者としてDS RRセットに特定されたKEYを信頼するかもしれません。 KEY RRセットに署名キーのいずれかを信頼するように設定リゾルバは今、安全なようKEY RRセット内のゾーン鍵によって署名されたすべてのデータを扱うかもしれ。他のすべてのケースでは、リゾルバは、ゾーンが安全でない考慮する必要があります。
An authoritative nameserver queried for type DS MUST return the DS RRset in the answer section.
タイプDS用の照会権限ネームサーバは、回答セクションでDS RRセットを返さなければなりません。
When a nameserver is authoritative for the parent zone at a delegation point and receives a query for the DS record at that name, it MUST answer based on data in the parent zone, return DS or negative answer. This is true whether or not it is also authoritative for the child zone.
ネームサーバが委任ポイントで親ゾーンに対して権限であり、その名前でDSレコードのクエリを受信すると、DSまたは負の答えを返し、親ゾーン内のデータに基づいて答える必要があります。これは、子ゾーンに対して権限のあるか否かが真です。
When the nameserver is authoritative for the child zone at a delegation point but not the parent zone, there is no natural response, since the child zone is not authoritative for the DS record at the zone's apex. As these queries are only expected to originate from recursive nameservers which are not DS-aware, the authoritative nameserver MUST answer with:
ネームサーバが親ゾーンの委任ポイントではなく、子ゾーンに対して権限のある場合には、子ゾーンはゾーンの頂点にDSレコードの権威ではないので、何の自然な反応は、ありません。これらのクエリは、唯一のDS-認識していない再帰ネームサーバから発信することが予想されるため、権限ネームサーバは、と答える必要があります:
RCODE: NOERROR AA bit: set Answer Section: Empty Authority Section: SOA [+ SIG(SOA) + NXT + SIG(NXT)]
RCODE:NOERRORのAAビット:設定回答セクション:空の権威セクション:SOA [+ SIG(SOA)+ NXT + SIG(NXT)]
That is, it answers as if it is authoritative and the DS record does not exist. DS-aware recursive nameservers will query the parent zone at delegation points, so will not be affected by this.
それはそれは権威あるとDSレコードが存在しないかのように答えています。 DS対応の再帰ネームサーバは委任ポイントで親ゾーンを照会しますので、これによって影響を受けることはありません。
A nameserver authoritative for only the child zone, that is also a caching server MAY (if the RD bit is set in the query) perform recursion to find the DS record at the delegation point, or MAY return the DS record from its cache. In this case, the AA bit MUST NOT be set in the response.
唯一の子ゾーンの権威ネームサーバは、それがキャッシュサーバは、(RDビットがクエリに設定されている場合)委任ポイントでDSレコードを見つけるために再帰を実行したり、そのキャッシュからDSレコードを返してもよいもあります。この場合、AAビットは対応して設定してはいけません。
2.2.1.2. Special processing when child and an ancestor share nameserver
2.2.1.2。特殊加工時に子供と祖先を共有するネームサーバ
Special rules are needed to permit DS RR aware nameservers to gracefully interact with older caches which otherwise might falsely label a nameserver as lame because of the placement of the DS RR set.
特別なルールが優雅にそうでない場合は誤っているためDS RRセットの配置のラメとしてネームサーバにラベルを付ける可能性がある古いキャッシュと対話するためにDS RR意識のネームサーバーを可能にするために必要とされています。
Such a situation might arise when a nameserver is authoritative for both a zone and it's grandparent, but not the parent. This sounds like an obscure example, but it is very real. The root zone is currently served on 13 machines, and "root-servers.net." is served on 4 of the 13, but "net." is severed on different nameservers.
ネームサーバがゾーンの両方のための権威であり、それは親の祖父母だが、ない場合には、このような状況が発生する可能性があります。これは、あいまいな例のように聞こえるが、それは非常に現実的です。ルートゾーンは、現在、「root-servers.net。」13機を務めており、 13の4を務めたが、「ネット」です。別のネームサーバに切断されます。
When a nameserver receives a query for (<QNAME>, DS, <QCLASS>), the response MUST be determined from reading these rules in order:
ネームサーバが(<QNAME>、DS、<QCLASS>)のクエリを受信すると、応答がためにこれらのルールを読んでから決定されなければなりません。
1) If the nameserver is authoritative for the zone that holds the DS RR set (i.e., the zone that delegates <QNAME>, a.k.a. the "parent" zone), the response contains the DS RR set as an authoritative answer.
ネームサーバがDS RRセット(すなわちを保持するゾーンに対して権限の場合1)、その委任<QNAME>ゾーンは、「親」ゾーン)別名、応答はDS RRが権威回答として設定含ま。
2) If the nameserver is offering recursive service and the RD bit is set in the query, the nameserver performs the query itself (according to the rules for resolvers described below) and returns its findings.
ネームサーバが再帰サービスを提供され、RDビットがクエリに設定されている場合は2)、ネームサーバー()は、以下に記載のレゾルバの規則に従ってクエリ自体を実行し、その結果を返します。
3) If the nameserver is authoritative for the zone that holds the <QNAME>'s SOA RR set, the response is an authoritative negative answer as described in 2.2.1.1.
3)ネームサーバが<QNAME>のSOAのRRセットを保持するゾーンに対して権限の場合、応答は2.2.1.1に記載されるように権限の否定です。
4) If the nameserver is authoritative for a zone or zones above the QNAME, a referral to the most enclosing (deepest match) zone's servers is made.
ネームサーバがQNAME上記ゾーンまたはゾーンの権限も持っている場合は4)、最も囲ん(最深の試合)ゾーンのサーバーへの紹介が行われています。
5) If the nameserver is not authoritative for any part of the QNAME, a response indicating a lame nameserver for QNAME is given.
5)ネームサーバがQNAMEの任意の部分のために信頼できない場合、QNameのラメネームサーバを示す応答が与えられます。
Using these rules will require some special processing on the part of a DS RR aware resolver. To illustrate this, an example is used.
これらのルールを使用すると、DS RR対応リゾルバの一部にいくつかの特別な処理が必要になります。これを示すために、例が使用されます。
Assuming a nameserver is authoritative for roots.example.net. and for the root zone but not the intervening two zones (or the intervening two label deep zone). Assume that QNAME=roots.example.net., QTYPE=DS, and QCLASS=IN.
ネームサーバと仮定するとroots.example.netための権威です。そして、ルートゾーンのためではなく、介在二つのゾーン(または介在2つのラベルの深いゾーン)。 QNAME = roots.example.net。、QTYPE = DS、およびQCLASS IN =と仮定します。
The resolver will issue this request (assuming no cached data) expecting a referral to a nameserver for .net. Instead, rule number 3 above applies and a negative answer is returned by the nameserver. The reaction by the resolver is not to accept this answer as final, as it can determine from the SOA RR in the negative answer the context within which the nameserver has answered.
リゾルバは、.NETのためのネームサーバへの紹介を期待して(キャッシュされたデータを想定していない)、この要求を発行します。代わりに、ルール番号3は、上記適用され、否定はネームサーバによって返されます。レゾルバによる反応は、それが否定的な答えでのSOA RRからネームサーバが応答したその中のコンテキストを決定することができるように、最終的な、この答えを受け入れることはありません。
A solution would be to instruct the resolver to hunt for the authoritative zone of the data in a brute force manner.
溶液は、総当り方式でデータの権限のあるゾーンを捜すためにリゾルバに指示することであろう。
This can be accomplished by taking the owner name of the returned SOA RR and striping off enough left-hand labels until a successful NS response is obtained. A successful response here means that the answer has NS records in it. (Entertaining the possibility that a cut point can be two labels down in a zone.)
これは、返されたSOA RRの所有者名を取って、成功したNS応答が得られるまで十分に左側のラベルをオフにストライピングすることによって達成することができます。ここでの正常な応答は、答えはそれでNSレコードを有することを意味します。 (カットポイントが2つのラベルダウンゾーンにできる可能性を楽しま。)
Returning to the example, the response will include a negative answer with either the SOA RR for "roots.example.net." or "example.net." depending on whether roots.example.net is a delegated domain. In either case, removing the left most label of the SOA owner name will lead to the location of the desired data.
例に戻ると、応答がのSOA RRのいずれかで否定含まれています「roots.example.netを。」または "example.net。" roots.example.netが委任されたドメインであるかどうかによって異なります。いずれの場合においても、SOA所有者名の左端のラベルを除去して所望のデータの場所につながります。
This section updates RFC 2535 section 3.5 by replacing it with the following:
この次でそれを置き換えることにより、セクションの更新RFC 2535のセクション3.5:
A query for KEY RR MUST NOT trigger any additional section processing. Security aware resolvers will include corresponding SIG records in the answer section.
KEY RRのクエリは、追加のセクション処理をトリガしてはなりません。セキュリティ対応リゾルバは、回答セクションに対応するSIGレコードが含まれます。
KEY records SHOULD NOT be added to the additional records section in response to any query.
KEYレコードが任意のクエリに応じて追加レコードセクションに追加しないでください。
RFC 2535 specified that KEY records be added to the additional section when SOA or NS records were included in an answer. This was done to reduce round trips (in the case of SOA) and to force out NULL KEYs (in the NS case). As this document obsoletes NULL keys, there is no need for the inclusion of KEYs with NSs. Furthermore, as SOAs are included in the authority section of negative answers, including the KEYs each time will cause redundant transfers of KEYs.
RFC 2535は、SOAやNSレコードが答えに含まれていたとき、KEYレコードが追加セクションに追加されることを指定しました。これは、(SOAの場合)の往復を低減し、(NSの場合)NULLキーを強制的に行われていました。この文書はNULLキーを廃止したようは、NSSとキーの包含のための必要はありません。また、SOAのように、各時間キーの冗長転送の原因となるキーを含む否定応答の権限セクションに含まれています。
RFC 2535 section 3.5 also included a rule for adding the KEY RRset to the response for a query for A and AAAA types. As Restrict KEY [RFC3445] eliminated use of KEY RR by all applications, this rule is no longer needed.
RFC 2535のセクション3.5はまた、AとAAAAタイプのクエリの応答にKEY RRセットを追加するためのルールを含んでいました。すべてのアプリケーションによってKEY RRの鍵[RFC3445]除去用途を制限するように、このルールはもはや必要とされません。
The signer's name field of a SIG RR MUST contain the name of the zone to which the data and signature belong. The combination of signer's name, key tag, and algorithm MUST identify a zone key if the SIG is to be considered material. This document defines a standard policy for DNSSEC validation; local policy MAY override the standard policy.
SIG RRの署名者の名前フィールドは、データと署名が属するゾーンの名前を含まなければなりません。 SIGは、材料と見なされるのであれば、署名者の名前、キー、タグ、およびアルゴリズムの組み合わせは、ゾーン鍵を特定しなければなりません。この文書はDNSSEC検証のための標準的なポリシーを定義します。ローカルポリシーは、標準ポリシーを無効にすることができます。
There are no restrictions on the signer field of a SIG(0) record. The combination of signer's name, key tag, and algorithm MUST identify a key if this SIG(0) is to be processed.
SIG(0)レコードの署名者フィールドに制限はありません。このSIG(0)を処理する場合は、署名者の名前、キー、タグ、およびアルゴリズムの組み合わせは、キーを特定しなければなりません。
A number of sections in RFC 3090 need to be updated to reflect the DS record.
RFC 3090のセクションの数はDSレコードを反映するために更新する必要があります。
Most of the text is still relevant but the words "NULL key" are to be replaced with "missing DS RRset". In section 1.3, the last three paragraphs discuss the confusion in sections of RFC 2535 that are replaced in section 2.2.1 above. Therefore, these paragraphs are now obsolete.
テキストのほとんどは、まだ関連ですが、言葉「NULLキーが」「行方不明DS RRセット」に置き換えるべきです。セクション1.3では、最後の3つの段落では、上記のセクション2.2.1に置き換えられているRFC 2535のセクションでの混乱を議論します。したがって、これらの段落は廃止されました。
Rule 2.1.b is replaced by the following rule:
ルール2.1.bは、次のルールに置き換えます。
2.1.b. The KEY RRset at a zone's apex MUST be self-signed by a private key whose public counterpart MUST appear in a zone signing KEY RR (2.a) owned by the zone's apex and specifying a mandatory-to-implement algorithm. This KEY RR MUST be identified by a DS RR in a signed DS RRset in the parent zone.
2.1.b.ゾーンの頂点にKEY RRセットは、その公共の対応ゾーンの頂点が所有ゾーン署名KEYのRR(2.A)に表示され、実装に必須のアルゴリズムを指定しなければならない秘密鍵によって自己署名しなければなりません。このKEY RRは親ゾーンに署名したDS RRセットにDS RRによって識別されなければなりません。
If a zone cannot get its parent to advertise a DS record for it, the child zone cannot be considered globally secured. The only exception to this is the root zone, for which there is no parent zone.
ゾーンは、親がそれをDSレコードを宣伝するために得ることができない場合は、子ゾーンは、世界的に確保すると考えることはできません。これに対する唯一の例外は、親ゾーンが存在しないいるルートゾーン、です。
The only difference between experimental status and globally secured is the missing DS RRset in the parent zone. All locally secured zones are experimental.
実験的なステータスとグローバル確保の唯一の違いは、親ゾーンの不足しているDS RRセットです。すべてのローカル確保ゾーンが実験されています。
RFC 3445 section 3 eliminates the top two bits in the flags field of KEY RR. These two bits were used to indicate NULL KEY or NO KEY. RFC 3090 defines that zone as either secure or not and these rules eliminate the need to put NULL keys in the zone apex to indicate that the zone is not secured for a algorithm. Along with this document, these other two eliminate all uses for the NULL KEY. This document obsoletes NULL KEY.
RFC 3445のセクション3は、KEY RRのフラグフィールドに上位2ビットを排除します。これら2つのビットは、NULLキーまたはNOキーを示すために使用しました。 RFC 3090は、安全かどうかと、これらのルールは、ゾーンは、アルゴリズムのために確保されていないことを示すために、ゾーンの頂点にNULLキーを配置する必要性を排除するのいずれかとし、そのゾーンを定義します。この文書とともに、これらの他の2つはNULLキーのすべての使用を排除します。この文書では、NULL KEYを廃止します。
Over the years, there have been various discussions surrounding the DNS delegation model, declaring it to be broken because there is no good way to assert if a delegation exists. In the RFC 2535 version of DNSSEC, the presence of the NS bit in the NXT bit map proves there is a delegation at this name. Something more explicit is required and the DS record addresses this need for secure delegations.
長年にわたり、代表団が存在する場合は主張する良い方法はありませんので、それは破られるために宣言し、DNS委任モデルを取り巻く様々な議論がなされています。 DNSSECのRFC 2535バージョンでは、NXTビットマップ内のNSビットの存在は、この名前の委任があることを証明します。より明示的な何かが必要とされ、DSレコードは安全な代表団のために、このニーズに対応しています。
The DS record is a major change to DNS: it is the first resource record that can appear only on the upper side of a delegation. Adding it will cause interoperability problems and requires a flag day for DNSSEC. Many old nameservers and resolvers MUST be upgraded to take advantage of DS. Some old nameservers will be able to be authoritative for zones with DS records but will not add the NXT or DS records to the authority section. The same is true for caching nameservers; in fact, some might even refuse to pass on the DS or NXT records.
DSレコードがDNSに大きな変化である:それは唯一の代表団の上側に表示されることが最初のリソースレコードです。それは相互運用性の問題を引き起こし、DNSSECのためのフラグの日を必要とします追加。古いネームサーバとリゾルバ多くは、DSを利用するためにアップグレードする必要があります。いくつかの古いネームサーバは、DSレコードを持つゾーンに対して権限を持つことができますが、権限のセクションをNXTまたはDSレコードを追加しません。同じことは、キャッシングネームサーバにも当てはまります。実際には、いくつかのもDSまたはNXTレコードを渡すことを拒否するかもしれません。
The DS (type=43) record contains these fields: key tag, algorithm, digest type, and the digest of a public key KEY record that is allowed and/or used to sign the child's apex KEY RRset. Other keys MAY sign the child's apex KEY RRset.
DS(タイプ= 43)レコードはこれらのフィールドが含まれています。鍵タグ、アルゴリズムは、ダイジェストタイプ、および許可されたおよび/または子の頂点KEY RRセットに署名するために使用される公開鍵KEYレコードのダイジェスト。他のキーは、子供の頂点KEY RRセットに署名することができます。
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| key tag | algorithm | Digest type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| digest (length depends on type) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| (SHA-1 digest is 20 bytes) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
The key tag is calculated as specified in RFC 2535. Algorithm MUST be allowed to sign DNS data. The digest type is an identifier for the digest algorithm used. The digest is calculated over the canonical name of the delegated domain name followed by the whole RDATA of the KEY record (all four fields).
キータグは、RFC 2535で指定されるように計算されるアルゴリズムは、DNSデータに署名することができなければなりません。ダイジェストのタイプが使用されるダイジェストアルゴリズムの識別子です。ダイジェストはKEYレコード(すべての4つのフィールド)の全RDATA続い委任ドメイン名の正規の名前の上に計算されます。
digest = hash( canonical FQDN on KEY RR | KEY_RR_rdata)
ダイジェスト=ハッシュ(KEY RRの正規のFQDN | KEY_RR_rdata)
KEY_RR_rdata = Flags | Protocol | Algorithm | Public Key
KEY_RR_rdata =フラグ|プロトコル|アルゴリズム|公開鍵
Digest type value 0 is reserved, value 1 is SHA-1, and reserving other types requires IETF standards action. For interoperability reasons, keeping number of digest algorithms low is strongly RECOMMENDED. The only reason to reserve additional digest types is to increase security.
ダイジェストタイプ値0は予約され、値1は、SHA-1であり、そして他のタイプを予約するIETF標準アクションを必要とします。相互運用性の理由から、低いダイジェストアルゴリズムの数を維持することを強くお勧めします。追加のダイジェストタイプを予約する唯一の理由は、セキュリティを高めることです。
DS records MUST point to zone KEY records that are allowed to authenticate DNS data. The indicated KEY records protocol field MUST be set to 3; flag field bit 7 MUST be set to 1. The value of other flag bits is not significant for the purposes of this document.
DSレコードは、DNSデータを認証するために許可されているKEYレコードをゾーンを指している必要があります。示されたキーレコード・プロトコル・フィールドが3に設定しなければなりません。フラグフィールドのビット7は、他のフラグビットの値は、本明細書の目的のために重要ではない1に設定しなければなりません。
The size of the DS RDATA for type 1 (SHA-1) is 24 bytes, regardless of key size. New digest types probably will have larger digests.
タイプ1のためのDS RDATA(SHA-1)の大きさにかかわらず、キーのサイズの、24バイトです。新しいダイジェストタイプは、おそらく大きなダイジェストを持つことになります。
The algorithm and key tag fields are present to allow resolvers to quickly identify the candidate KEY records to examine. SHA-1 is a strong cryptographic checksum: it is computationally infeasible for an attacker to generate a KEY record that has the same SHA-1 digest. Combining the name of the key and the key rdata as input to the digest provides stronger assurance of the binding. Having the key tag in the DS record adds greater assurance than the SHA-1 digest alone, as there are now two different mapping functions.
アルゴリズムと鍵タグフィールドはリゾルバがすぐに検討する候補KEYレコードを識別できるようにするために存在しています。 SHA-1は、強力な暗号チェックサムです:攻撃者が同じSHA-1ダイジェストを持つKEYレコードを生成することが計算上実行不可能です。キーの名前とダイジェストへの入力としてキーRDATAを組み合わせることにより、結合の強い保証を提供します。 DSレコードで鍵タグを持つことになりました二つの異なるマッピング機能があるのでSHA-1は、単独のダイジェストより大きな保証を追加します。
This format allows concise representation of the keys that the child will use, thus keeping down the size of the answer for the delegation, reducing the probability of DNS message overflow. The SHA-1 hash is strong enough to uniquely identify the key and is similar to the PGP key footprint. The digest type field is present for possible future expansion.
この形式は、このようにDNSメッセージがオーバーフローの可能性を低減、委任のための答えの大きさを抑え、子供が使用するキーの簡潔な表現を可能にします。 SHA-1ハッシュを一意キーを識別するのに十分に強く、PGP鍵のフットプリントと同様です。ダイジェストタイプフィールドは、可能な将来の拡張のために存在しています。
The DS record is well suited to listing trusted keys for islands of security in configuration files.
DSレコードは、コンフィギュレーションファイルのセキュリティの島々のための信頼できるキーを一覧表示に適しています。
The presentation format of the DS record consists of three numbers (key tag, algorithm, and digest type) followed by the digest itself presented in hex:
DSレコードの表現形式は六角で提示ダイジェスト自体に続いて3つの数字(鍵タグ、アルゴリズム、およびダイジェストタイプ)で構成されています。
example. DS 12345 3 1 123456789abcdef67890123456789abcdef67890
例。 DS 12345 3 1 123456789abcdef67890123456789abcdef67890
No backwards compatibility with RFC 2535 is provided.
RFC 2535とは下位互換性が提供されていません。
RFC 2535-compliant resolvers will assume that all DS-secured delegations are locally secure. This is bad, but the DNSEXT Working Group has determined that rather than dealing with both RFC 2535- secured zones and DS-secured zones, a rapid adoption of DS is preferable. Thus, the only option for early adopters is to upgrade to DS as soon as possible.
RFC 2535準拠リゾルバは、すべてのDS-確保代表団が局部的に安全であることを前提としています。これは悪いですが、DNSEXTワーキンググループは、むしろRFC 2535-確保ゾーンとDS-確保ゾーンの両方を扱うよりも、DSの急速な普及が望ましいと判断しました。したがって、早期導入のための唯一のオプションは、できるだけ早くDSにアップグレードすることです。
This section documents how a resolver determines the type of delegation.
リゾルバは委任の種類を決定する方法このセクションでドキュメント。
RFC 1035 delegation (in parent) has:
(親で)RFC 1035委任があります。
RFC 1035 NS
RFC 1035 NS
RFC 2535 adds the following two cases:
RFC 2535には、以下の2つのケースを追加します。
Secure RFC 2535: NS + NXT + SIG(NXT) NXT bit map contains: NS SIG NXT Unsecure RFC 2535: NS + KEY + SIG(KEY) + NXT + SIG(NXT) NXT bit map contains: NS SIG KEY NXT KEY must be a NULL key.
セキュアRFC 2535:NS + NXT + SIG(NXT)NXTビットマップが含ま:NS SIG NXT非セキュアRFC 2535:NS + KEY + SIG(KEY)+ NXT + SIG(NXT)NXTビットマップが含ま:NS SIG KEY NXT KEYをしなければなりませんNULLの鍵となります。
DNSSEC with DS has the following two states:
DSでのDNSSECは、次の2つの状態があります。
Secure DS: NS + DS + SIG(DS) NXT bit map contains: NS SIG NXT DS Unsecure DS: NS + NXT + SIG(NXT) NXT bit map contains: NS SIG NXT
セキュアDS:NS + DS + SIG(DS)NXTビットマップに含まれる:NS SIG NXT DS非セキュアDS:NS + NXT + SIG(NXT)NXTビットマップに含まれる:NS SIG NXTを
It is difficult for a resolver to determine if a delegation is secure RFC 2535 or unsecure DS. This could be overcome by adding a flag to the NXT bit map, but only upgraded resolvers would understand this flag, anyway. Having both parent and child signatures for a KEY RRset might allow old resolvers to accept a zone as secure, but the cost of doing this for a long time is much higher than just prohibiting RFC 2535-style signatures at child zone apexes and forcing rapid deployment of DS-enabled nameservers and resolvers.
リゾルバは委任が安全RFC 2535または安全でないDSであるかどうかを判断することは困難です。これは、NXTビットマップにフラグを追加することによって克服することができますが、唯一のアップグレードリゾルバは、とにかく、このフラグを理解するであろう。 KEY RRセットのための親と子の両方の署名を持つ古いリゾルバが安全としてゾーンを受け入れることが可能かもしれないが、長い時間のためにこれを行うためのコストは、ちょうど子ゾーンの頂点にRFC 2535形式の署名を禁止し、迅速な展開を強制するよりもはるかに高いですDS対応のネームサーバとリゾルバの。
RFC 2535 and DS can, in theory, be deployed in parallel, but this would require resolvers to deal with RFC 2535 configurations forever. This document obsoletes the NULL KEY in parent zones, which is a difficult enough change that to cause a flag day.
RFC 2535とDSは、理論的には、並列に配置することができますが、これは2535の構成永遠RFCに対処するためにリゾルバを必要とします。この文書では、フラグの日せることが困難に十分な変化であり、親ゾーンにNULL KEYを廃止します。
This is an example of a KEY record and the corresponding DS record.
これはKEYレコードと対応するDSレコードの例です。
dskey.example. KEY 256 3 1 ( AQPwHb4UL1U9RHaU8qP+Ts5bVOU1s7fYbj2b3CCbzNdj 4+/ECd18yKiyUQqKqQFWW5T3iVc8SJOKnueJHt/Jb/wt ) ; key id = 28668 DS 28668 1 1 49FD46E6C4B45C55D4AC69CBD3CD34AC1AFE51DE
dskey.example。 KEY 256 3 1(AQPwHb4UL1U9RHaU8qP + Ts5bVOU1s7fYbj2b3CCbzNdj 4 + / ECd18yKiyUQqKqQFWW5T3iVc8SJOKnueJHt / Jbの/重量)。キーID = 28668 DS 28668 1 1 49FD46E6C4B45C55D4AC69CBD3CD34AC1AFE51DE
To create a chain of trust, a resolver goes from trusted KEY to DS to KEY.
信頼の連鎖を作成するには、リゾルバはKEYにDSに信頼されたキーから行きます。
Assume the key for domain "example." is trusted. Zone "example." contains at least the following records: example. SOA <soa stuff> example. NS ns.example. example. KEY <stuff> example. NXT secure.example. NS SOA KEY SIG NXT example. SIG(SOA) example. SIG(NS) example. SIG(NXT) example. SIG(KEY) secure.example. NS ns1.secure.example. secure.example. DS tag=12345 alg=3 digest_type=1 <foofoo> secure.example. NXT unsecure.example. NS SIG NXT DS secure.example. SIG(NXT) secure.example. SIG(DS) unsecure.example NS ns1.unsecure.example. unsecure.example. NXT example. NS SIG NXT unsecure.example. SIG(NXT)
ドメインのためのキーと仮定「の例を。」信頼されています。ゾーン「の例。」例:少なくとも次のレコードが含まれています。 SOA <SOAもの>の例。 NSのns.example。例。 KEY <もの>の例。 NXT secure.example。 NS SOA KEY SIG NXT例。 SIG(SOA)の例。 SIG(NS)の例。 SIG(NXT)の例。 SIG(KEY)secure.example。 NSのns1.secure.example。 secure.example。 DSタグ= 12345 ALG = 3 digest_type = 1 <foofoo> secure.example。 NXTのunsecure.example。 NS SIG NXT DSのsecure.example。 SIG(NXT)secure.example。 SIG(DS)unsecure.example NS ns1.unsecure.example。 unsecure.example。 NXT例。 NS SIG NXTはunsecure.example。 SIG(NXT)
In zone "secure.example." following records exist: secure.example. SOA <soa stuff> secure.example. NS ns1.secure.example. secure.example. KEY <tag=12345 alg=3> secure.example. KEY <tag=54321 alg=5> secure.example. NXT <nxt stuff> secure.example. SIG(KEY) <key-tag=12345 alg=3> secure.example. SIG(SOA) <key-tag=54321 alg=5> secure.example. SIG(NS) <key-tag=54321 alg=5> secure.example. SIG(NXT) <key-tag=54321 alg=5>
ゾーンで「secure.example。」次のレコードが存在しますsecure.exampleを。 SOA <SOAもの> secure.example。 NSのns1.secure.example。 secure.example。 KEY <タグ= 12345 ALG = 3> secure.example。 KEY <タグ= 54321 ALG = 5> secure.example。 NXT <NXTもの> secure.example。 SIG(KEY)<キータグ= 12345 ALG = 3> secure.example。 SIG(SOA)<キータグ= 54321 ALG = 5> secure.example。 SIG(NS)<キータグ= 54321 ALG = 5> secure.example。 SIG(NXT)<キータグ= 54321 ALG = 5>
In this example, the private key for "example." signs the DS record for "secure.example.", making that a secure delegation. The DS record states which key is expected to sign the KEY RRset at "secure.example.". Here "secure.example." signs its KEY RRset with the KEY identified in the DS RRset, thus the KEY RRset is validated and trusted.
この例では、のために秘密鍵「の例。」以下のためのDSレコードに署名「secure.exampleを。」、セキュアな委任することを作ります。キーがでKEY RRセットに署名することを期待されているDSレコード状態「secure.example。」。ここで "secure.example。" DS RRセット内で識別KEYとのKEY RRセットに署名し、これKEY RRセットを検証し、信頼されています。
This example has only one DS record for the child, but parents MUST allow multiple DS records to facilitate key roll-over and multiple KEY algorithms.
この例では、子供のための唯一のDSレコードを持っていますが、両親は、複数のDSレコードがキーロールオーバーと複数のKEYアルゴリズムを容易にするために、許容しなければなりません。
The resolver determines the security status of "unsecure.example." by examining the parent zone's NXT record for this name. The absence of the DS bit indicates an unsecure delegation. Note the NXT record SHOULD only be examined after verifying the corresponding signature.
リゾルバはのセキュリティ状態を決定する「unsecure.exampleを。」この名前の親ゾーンのNXTレコードを調べることによって。 DSビットの不在は、安全でない委任を示します。 NXTレコードのみ対応する署名を検証した後に検討すべきである注意。
From a RFC 2535 recursive resolver point of view, for each delegation followed to chase down an answer, one KEY RRset has to be verified. Additional RRsets might also need to be verified based on local policy (e.g., the contents of the NS RRset). Once the resolver gets to the appropriate delegation, validating the answer might require verifying one or more signatures. A simple A record lookup requires at least N delegations to be verified and one RRset. For a DS-enabled recursive resolver, the cost is 2N+1. For an MX record, where the target of the MX record is in the same zone as the MX record, the costs are N+2 and 2N+2, for RFC 2535 and DS, respectively. In the case of a negative answer, the same ratios hold true.
ビューのRFC 2535再帰リゾルバの観点から、各代表団のための答えを追いかけるために、その後、1 KEY RRセットを検証する必要があります。追加のRRセットは、ローカルポリシーに基づいて検証する必要があるかもしれません(例えば、NS RRセットの内容)。リゾルバが適切な委任に到達したら、解答を検証し、1つ以上の署名を検証することが必要な場合があります。少なくともN個の代表団が検証し、1 RRセットすることで、単純なレコードのルックアップが必要です。 DS対応の再帰リゾルバのために、コストが2N + 1です。 MXレコードのターゲットはMXレコードと同じゾーンにあるMXレコードについては、費用はそれぞれ、RFC 2535およびDSのために、N + 2及び2N + 2です。否定の場合には、同じ比率が当てはまります。
The recursive resolver has to do an extra query to get the DS record, which will increase the overall cost of resolving this question, but it will never be worse than chasing down NULL KEY records from the parent in RFC 2535 DNSSEC.
再帰リゾルバはこの質問を解決するための全体的なコストが増加しますが、それはRFC 2535 DNSSECで親からNULL KEYレコードを追いかけよりも悪くなることはありませんDSレコードを取得するために余分なクエリを実行する必要があります。
DS adds processing overhead on resolvers and increases the size of delegation answers, but much less than storing signatures in the parent zone.
DSはリゾルバに処理オーバーヘッドを追加し、委任回答のサイズが大きくなりますが、親ゾーンに署名を保存するよりもはるかに少ないです。
This document proposes a change to the validation chain of KEY records in DNSSEC. The change is not believed to reduce security in the overall system. In RFC 2535 DNSSEC, the child zone has to communicate keys to its parent and prudent parents will require some authentication with that transaction. The modified protocol will require the same authentication, but allows the child to exert more local control over its own KEY RRset.
この文書はDNSSECにおけるKEYレコードの検証チェーンへの変更を提案しています。変更は、システム全体のセキュリティを低減すると考えていません。 RFC 2535 DNSSECでは、子ゾーンは、その親に鍵を伝える必要があり、慎重な親はそのトランザクションにいくつかの認証が必要になります。変更されたプロトコルは、同じ認証が必要ですが、子供が自身のKEY RRセットをよりローカルな制御を発揮することができます。
There is a remote possibility that an attacker could generate a valid KEY that matches all the DS fields, of a specific DS set, and thus forge data from the child. This possibility is considered impractical, as on average more than
攻撃者は、特定のDSセットのすべてのDSフィールドに一致する有効なキーを生成し、ひいては子供からデータを偽造できることをリモート可能性があります。この可能性はより平均として、非現実的と考えられています
2 ^ (160 - <Number of keys in DS set>)
2 ^(160 - <DSセット内のキーの数>)
keys would have to be generated before a match would be found.
一致が見られる前に、キーが生成されなければならないでしょう。
An attacker that wants to match any DS record will have to generate on average at least 2^80 keys.
任意のDSレコードを一致させるために望んでいる攻撃者は、平均して少なくとも2 ^ 80キーの上に生成する必要があります。
The DS record represents a change to the DNSSEC protocol and there is an installed base of implementations, as well as textbooks on how to set up secure delegations. Implementations that do not understand the DS record will not be able to follow the KEY to DS to KEY chain and will consider all zones secured that way as unsecure.
DSレコードはDNSSECプロトコルに対する変更を表し、安全な委任を設定する方法にインストールされた実装の塩基、ならびに教科書があります。 DSレコードを理解していない実装はキーチェーンにDSにKEYを追跡することはできませんし、すべてのゾーンが安全でないと、そのように確保して頂きます。
IANA has allocated an RR type code for DS from the standard RR type space (type 43).
IANAは、標準のRR型空間(タイプ43)からDS用のRRタイプコードを割り当てています。
IANA has established a new registry for the DS RR type for digest algorithms. Defined types are:
IANAは、ダイジェストアルゴリズムのDS RRタイプのための新しいレジストリを確立しました。定義されたタイプは次のとおりです。
0 is Reserved, 1 is SHA-1.
0は予約され、1はSHA-1です。
Adding new reservations requires IETF standards action.
新しい予約を追加すると、IETF標準化行動を必要とします。
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.
IETFは、そのような権限下で、ライセンスがたりないかもしれない可能性があるためにどの本書または程度に記載されている技術の実装や使用に関係すると主張される可能性があります任意の知的財産やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能。また、そうした権利を特定するために取り組んできたことを表していないん。スタンダードトラックおよび標準関連文書における権利に関するIETFの手続きの情報は、BCP-11に記載されています。権利の主張のコピーは、出版のために利用可能とライセンスの保証が利用できるようにする、または本仕様の実装者または利用者が、そのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、その注意にこの標準を実践するために必要な場合があり技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 IETF専務に情報を扱ってください。
Over the last few years a number of people have contributed ideas that are captured in this document. The core idea of using one key to sign only the KEY RRset comes from discussions with Bill Manning and Perry Metzger on how to put in a single root key in all resolvers. Alexis Yushin, Brian Wellington, Sam Weiler, Paul Vixie, Jakob Schlyter, Scott Rose, Edward Lewis, Lars-Johan Liman, Matt Larson, Mark Kosters, Dan Massey, Olaf Kolman, Phillip Hallam-Baker, Miek Gieben, Havard Eidnes, Donald Eastlake 3rd., Randy Bush, David Blacka, Steve Bellovin, Rob Austein, Derek Atkins, Roy Arends, Mark Andrews, Harald Alvestrand, and others have provided useful comments.
過去数年にわたって人々の数は、この文書に取り込まれますアイデアを貢献しています。唯一のKEY RRセットに署名する一つのキーを使用しての核となるアイデアは、すべてのリゾルバで単一のルートキーに置く方法についてのビル・マニングとペリーメッツガーとの議論から来ています。アレクシス維新、ブライアンウェリントン、サム・ワイラー、ポール・ヴィクシー、ヤコブSchlyter、スコット・ローズ、エドワード・ルイス、ラース・ヨハンLiman、マット・ラーソン、マーク・Kosters、ダン・マッセイ、オラフKolman、フィリップハラム - ベイカー、Miek Gieben、Havard Eidnes、ドナルドイーストレイク3位。、ランディブッシュ、デビッドBlacka、スティーブBellovin氏、ロブAusteinと、デレク・アトキンス、ロイアレンズ、マーク・アンドリュース、ハラルドAlvestrand、および他の人が有益なコメントを提供しています。
[RFC1035] Mockapetris, P., "Domain Names - Implementation and Specification", STD 13, RFC 1035, November 1987.
[RFC1035] Mockapetris、P.、 "ドメイン名 - 実装と仕様"、STD 13、RFC 1035、1987年11月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2535] Eastlake, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[RFC2535]イーストレイク、D.、 "ドメインネームシステムのセキュリティ拡張機能"、RFC 2535、1999年3月。
[RFC3008] Wellington, B., "Domain Name System Security (DNSSEC) Signing Authority", RFC 3008, November 2000.
[RFC3008]ウェリントン、B.、 "ドメインネームシステムセキュリティ(DNSSEC)署名権限"、RFC 3008、2000年11月。
[RFC3090] Lewis, E., "DNS Security Extension Clarification on Zone Status", RFC 3090, March 2001.
[RFC3090]ルイス、E.、RFC 3090 "ゾーンのステータスのDNSセキュリティ拡張の明確化"、2001年3月。
[RFC3225] Conrad, D., "Indicating Resolver Support of DNSSEC", RFC 3225, December 2001.
[RFC3225]コンラッド、D.、 "DNSSECのレゾルバサポートを示す"、RFC 3225、2001年12月。
[RFC3445] Massey, D. and S. Rose, "Limiting the scope of the KEY Resource Record (RR)", RFC 3445, December 2002.
[RFC3445]マッセイ、D.とS.ローズ、RFC 3445 "KEYリソースレコード(RR)の範囲を制限"、2002年12月。
[RFC2181] Elz, R. and R. Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997.
"DNS仕様の明確化" [RFC2181]エルツ、R.とR.ブッシュ、RFC 2181、1997年7月。
[RFC3226] Gudmundsson, O., "DNSSEC and IPv6 A6 aware server/resolver message size requirements", RFC 3226, December 2001.
[RFC3226]グドムンソン、O.、 "DNSSECとIPv6 A6意識し、サーバ/リゾルバのメッセージサイズの要件"、RFC 3226、2001年12月。
Olafur Gudmundsson 3821 Village Park Drive Chevy Chase, MD, 20815
オラフルグドムンソン3821ビレッジパークドライブチェビーチェイス、メリーランド、20815
EMail: ds-rfc@ogud.com
メールアドレス:ds-rfc@ogud.com
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.
上記の制限は永続的なものであり、インターネットソサエティもしくはその継承者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。