Network Working Group J. Schlyter, Ed.
Request for Comments: 3845 August 2004
Updates: 3755, 2535
Category: Standards Track
DNS Security (DNSSEC) NextSECure (NSEC) RDATA Format
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2004).
著作権(C)インターネット協会(2004)。
Abstract
抽象
This document redefines the wire format of the "Type Bit Map" field in the DNS NextSECure (NSEC) resource record RDATA format to cover the full resource record (RR) type space.
この文書は、完全なリソースレコード(RR)タイプのスペースをカバーするためにDNS NextSECure(NSEC)リソースレコードRDATA形式で「タイプビットマップ」フィールドのワイヤフォーマットを再定義します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. The NSEC Resource Record . . . . . . . . . . . . . . . . . . . 2
2.1. NSEC RDATA Wire Format . . . . . . . . . . . . . . . . . 3
2.1.1. The Next Domain Name Field . . . . . . . . . . . 3
2.1.2. The List of Type Bit Map(s) Field . . . . . . . 3
2.1.3. Inclusion of Wildcard Names in NSEC RDATA . . . 4
2.2. The NSEC RR Presentation Format . . . . . . . . . . . . 4
2.3. NSEC RR Example . . . . . . . . . . . . . . . . . . . . 5
3. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 5
4. Security Considerations . . . . . . . . . . . . . . . . . . . 5
5. References . . . . . . . . . . . . . . . . . . . . . . . . . . 6
5.1. Normative References . . . . . . . . . . . . . . . . . . 6
5.2. Informative References . . . . . . . . . . . . . . . . . 6
6. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 6
7. Author's Address . . . . . . . . . . . . . . . . . . . . . . . 6
8. Full Copyright Statement . . . . . . . . . . . . . . . . . . . 7
The DNS [6][7] NSEC [5] Resource Record (RR) is used for authenticated proof of the non-existence of DNS owner names and types. The NSEC RR is based on the NXT RR as described in RFC 2535 [2], and is similar except for the name and typecode. The RDATA format for the NXT RR has the limitation in that the RDATA could only carry information about the existence of the first 127 types. RFC 2535 did reserve a bit to specify an extension mechanism, but the mechanism was never actually defined.
DNS [6] [7] NSEC [5]リソースレコード(RR)は、DNS所有者の名前とタイプの非存在の認証された証明のために使用されます。 RFC 2535 [2]に記載の名前とタイプコードを除いて類似しているようにNSEC RRはNXT RRに基づいています。 NXTのRR用RDATAフォーマットは、最初の127種類の存在についての情報を運ぶことができることRDATAに限界があります。 RFC 2535は、拡張メカニズムを指定するビットを予約しましたが、メカニズムは、実際に定義されていませんでした。
In order to avoid needing to develop an extension mechanism into a deployed base of DNSSEC aware servers and resolvers once the first 127 type codes are allocated, this document redefines the wire format of the "Type Bit Map" field in the NSEC RDATA to cover the full RR type space.
最初の127型コードが割り当てられた後DNSSEC対応サーバとレゾルバの展開ベースに拡張メカニズムを開発する必要を避けるために、この文書は、カバーするNSEC RDATAの「Typeビットマップ」フィールドのワイヤフォーマットを再定義しますフルRRタイプスペース。
This document introduces a new format for the type bit map. The properties of the type bit map format are that it can cover the full possible range of typecodes, that it is relatively economical in the amount of space it uses for the common case of a few types with an owner name, that it can represent owner names with all possible types present in packets of approximately 8.5 kilobytes, and that the representation is simple to implement. Efficient searching of the type bitmap for the presence of certain types is not a requirement.
この文書では、タイプビットマップの新しい形式を導入しています。タイプビットマップ形式の性質は、それが所有者を表すことができること、それは所有者名を持ついくつかのタイプの一般的な場合に使用するスペースの量が比較的経済的であること、型コードの完全な可能な範囲をカバーすることができることです約8.5キロバイトのパケット内に存在するすべての可能なタイプと名前、および表現は、実装が簡単です。特定の種類の存在の型のビットマップの効率的な検索は必要条件ではありません。
For convenience and completeness, this document presents the syntax and semantics for the NSEC RR based on the specification in RFC 2535 [2] and as updated by RFC 3755 [5], thereby not introducing changes except for the syntax of the type bit map.
利便性および完全性のために、この文書は、RFC 2535で指定に基づいて、NSEC RRの構文と意味論を提示する[2]及びRFC 3755によって更新される[5]、タイプビットマップの構文を除いて、それによって導入しない変更。
This document updates RFC 2535 [2] and RFC 3755 [5].
このドキュメントの更新RFC 2535 [2]およびRFC 3755 [5]。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14, RFC 2119 [1].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はありますBCP 14、RFC 2119に記載されるように解釈される[1]。
The NSEC resource record lists two separate things: the owner name of the next RRset in the canonical ordering of the zone, and the set of RR types present at the NSEC RR's owner name. The complete set of NSEC RRs in a zone indicate which RRsets exist in a zone, and form a chain of owner names in the zone. This information is used to provide authenticated denial of existence for DNS data, as described in RFC 2535 [2].
ゾーンの正規順序内の次のRRセットの所有者名、およびNSEC RRの所有者名に存在するRRタイプのセット:NSECリソースレコードは、2つの別々のものを示しています。ゾーンのNSEC RRの完全なセットは、ゾーン内に存在する資源レコード集合を示し、ゾーン内の所有者名のチェーンを形成します。 RFC 2535に記載されているように、この情報は、DNSデータに存在する認証された否定を提供するために使用されている[2]。
The type value for the NSEC RR is 47.
NSEC RRのタイプ値は47です。
The NSEC RR RDATA format is class independent and defined for all classes.
NSEC RR RDATAフォーマットはクラスに独立して、すべてのクラスのために定義されています。
The NSEC RR SHOULD have the same TTL value as the SOA minimum TTL field. This is in the spirit of negative caching [8].
NSEC RRは、SOA最小TTLフィールドと同じTTL値を有するべきです。これは、ネガティブキャッシュ[8]の精神です。
The RDATA of the NSEC RR is as shown below:
NSEC RRのRDATAは、以下に示す通りであります:
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ Next Domain Name /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ List of Type Bit Map(s) /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
The Next Domain Name field contains the owner name of the next RR in the canonical ordering of the zone. The value of the Next Domain Name field in the last NSEC record in the zone is the name of the zone apex (the owner name of the zone's SOA RR).
次のドメイン名フィールドは、ゾーンの正規順序内の次のRRの所有者名が含まれています。ゾーン内の最後のNSECレコードの次のドメイン名フィールドの値は、ゾーンの頂点(ゾーンのSOA RRの所有者名)の名前です。
A sender MUST NOT use DNS name compression on the Next Domain Name field when transmitting an NSEC RR.
NSEC RRを送信する際、送信者は、次のドメイン名フィールドにDNS名圧縮を使用してはなりません。
Owner names of RRsets that are not authoritative for the given zone (such as glue records) MUST NOT be listed in the Next Domain Name unless at least one authoritative RRset exists at the same owner name.
少なくとも一つの権威RRセットは、同じ所有者名に存在しない限り、(そのようなグルーレコードなど)特定のゾーンの権威でないRRセットの所有者名は、次のドメイン名で表示されてはなりません。
The RR type space is split into 256 window blocks, each representing the low-order 8 bits of the 16-bit RR type space. Each block that has at least one active RR type is encoded using a single octet window number (from 0 to 255), a single octet bitmap length (from 1 to 32) indicating the number of octets used for the window block's bitmap, and up to 32 octets (256 bits) of bitmap.
RR型空間は、それぞれが16ビットRR型空間の下位8ビットを表す、256個のウィンドウブロックに分割されます。少なくとも1つの活性RR型を有する各ブロックはウィンドウブロックのビットマップに使用されるオクテットの数を示す単一オクテットウィンドウ番号(0〜255)、(1〜32)は、単一のオクテットのビットマップの長さを使用して符号化し、アップされていますビットマップの32個のオクテット(256ビット)です。
Window blocks are present in the NSEC RR RDATA in increasing numerical order.
ウィンドウブロックは、数値昇順にNSEC RR RDATAに存在します。
"|" denotes concatenation
"|"連結を表し、
Type Bit Map(s) Field = ( Window Block # | Bitmap Length | Bitmap ) +
タイプビットマップ(s)]フィールド=(ウィンドウブロック#|ビットマップの長さ|ビットマップ)+
Each bitmap encodes the low-order 8 bits of RR types within the window block, in network bit order. The first bit is bit 0. For window block 0, bit 1 corresponds to RR type 1 (A), bit 2 corresponds to RR type 2 (NS), and so forth. For window block 1, bit 1 corresponds to RR type 257, and bit 2 to RR type 258. If a bit is set to 1, it indicates that an RRset of that type is present for the NSEC RR's owner name. If a bit is set to 0, it indicates that no RRset of that type is present for the NSEC RR's owner name.
各ビットマップは、ネットワークビット順に、窓ブロック内のRR型の下位8ビットを符号化します。最初のビットは、ビット1は、RRタイプ1(A)に対応する、ウィンドウブロック0のビット0である2等RRタイプ2(NS)とに対応するビット。ウィンドウブロック1のために、ビットが1に設定されている場合、それはそのタイプの資源レコード集合がNSEC RRの所有者名に存在することを示すRRタイプ257、およびRRタイプ258にビット1~2対応するビット。ビットが0に設定されている場合は、そのタイプのないRRセットがNSEC RRの所有者名のために存在していないことを示しています。
Since bit 0 in window block 0 refers to the non-existing RR type 0, it MUST be set to 0. After verification, the validator MUST ignore the value of bit 0 in window block 0.
ウィンドウブロック0のビット0が存在しないRRタイプ0を意味するので、検証した後、バリデータはウィンドウブロック0のビット0の値を無視しなければなりません0に設定しなければなりません。
Bits representing Meta-TYPEs or QTYPEs, as specified in RFC 2929 [3] (section 3.1), or within the range reserved for assignment only to QTYPEs and Meta-TYPEs MUST be set to 0, since they do not appear in zone data. If encountered, they must be ignored upon reading.
それらは、ゾーンデータには表示されないのでのみQTYPEs及びメタタイプへの割り当てのために予約メタタイプまたはQTYPEsを表すビット、RFC 2929で指定されるように[3](セクション3.1)、または範囲は、0に設定しなければなりません。遭遇した場合は、読み取り時には無視されなければなりません。
Blocks with no types present MUST NOT be included. Trailing zero octets in the bitmap MUST be omitted. The length of each block's bitmap is determined by the type code with the largest numerical value within that block, among the set of RR types present at the NSEC RR's owner name. Trailing zero octets not specified MUST be interpreted as zero octets.
現在無しタイプのブロックを含んではいけません。ビットマップ内のゼロオクテットを末尾の省略しなければなりません。各ブロックのビットマップの長さは、NSEC RRの所有者名に存在するRRタイプのセットのうち、そのブロック内の最大の数値を持つ型コードによって決定されます。指定されていないゼロオクテットを末尾のゼロオクテットと解釈されなければなりません。
If a wildcard owner name appears in a zone, the wildcard label ("*") is treated as a literal symbol and is treated the same as any other owner name for purposes of generating NSEC RRs. Wildcard owner names appear in the Next Domain Name field without any wildcard expansion. RFC 2535 [2] describes the impact of wildcards on authenticated denial of existence.
ワイルドカード所有者名がゾーンに表示された場合は、ワイルドカードラベル(「*」)は、リテラルシンボルとして扱われ、NSEC RRを生成する目的のために、他の所有者名と同じように扱われます。ワイルドカード所有者名は、任意のワイルドカード拡張せずに次のドメイン名フィールドに表示されます。 RFC 2535 [2]は存在の認証拒否にワイルドカードの影響を記載しています。
The presentation format of the RDATA portion is as follows:
次のようにRDATA部分のプレゼンテーション形式は次のとおりです。
The Next Domain Name field is represented as a domain name.
次のドメイン名フィールドは、ドメイン名として表されます。
The List of Type Bit Map(s) Field is represented as a sequence of RR type mnemonics. When the mnemonic is not known, the TYPE representation as described in RFC 3597 [4] (section 5) MUST be used.
タイプビットマップ(S)フィールドのリストがRR型ニーモニックのシーケンスとして表されます。 RFC 3597に記載されているようにニーモニックは、TYPE表現を知られていない場合、[4](セクション5)を使用しなければなりません。
The following NSEC RR identifies the RRsets associated with alfa.example.com. and the next authoritative name after alfa.example.com.
以下NSEC RRはalfa.example.comに関連付けられた資源レコード集合を識別する。そしてalfa.example.com後の次の正式な名前。
alfa.example.com. 86400 IN NSEC host.example.com. A MX RRSIG NSEC TYPE1234
alfa.example.com。 86400、IN NSEC host.example.com。 MX RRSIG NSEC TYPE1234
The first four text fields specify the name, TTL, Class, and RR type (NSEC). The entry host.example.com. is the next authoritative name after alfa.example.com. in canonical order. The A, MX, RRSIG, NSEC, and TYPE1234 mnemonics indicate there are A, MX, RRSIG, NSEC, and TYPE1234 RRsets associated with the name alfa.example.com.
最初の4つのテキストフィールドは、名前、TTL、クラス、およびRRタイプ(NSEC)を指定します。エントリーhost.example.com。 alfa.example.com後の次の正式な名前です。標準的なためです。 A、MX、RRSIG、NSEC、TYPE1234およびニーモニックは、あるMX、RRSIG、NSEC、名前alfa.example.comに関連したTYPE1234 RRセットを示しています。
The RDATA section of the NSEC RR above would be encoded as:
NSEC RRのRDATA部は、上記のように符号化されるであろう。
0x04 'h' 'o' 's' 't' 0x07 'e' 'x' 'a' 'm' 'p' 'l' 'e' 0x03 'c' 'o' 'm' 0x00 0x00 0x06 0x40 0x01 0x00 0x00 0x00 0x03 0x04 0x1b 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x20
0x04の 'H' 'O' 'S' 'T' 0x07の 'E' 'X' '' は0x00 0x00から0x06での0x40 0x01の 'M' E '0×03 'C' 'O'' ' 'L' をP' を 'M' 0x00の0x00には0x00 0x03の0x04をとして0x1Bは0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00には0x00 0x00から0x00から0x00から0x20の
Assuming that the resolver can authenticate this NSEC record, it could be used to prove that beta.example.com does not exist, or could be used to prove that there is no AAAA record associated with alfa.example.com. Authenticated denial of existence is discussed in RFC 2535 [2].
リゾルバがこのNSECレコードを認証できると仮定すると、beta.example.comが存在しないことを証明するために使用することができ、またはalfa.example.comに関連付けられたAAAAレコードが存在しないことを証明するために使用することができます。存在の認証拒否はRFC 2535に記載されている[2]。
This document introduces no new IANA considerations, because all of the protocol parameters used in this document have already been assigned by RFC 3755 [5].
このドキュメントで使用されるプロトコルパラメータのすべてが既にRFC 3755 [5]によって割り当てられているので、この文書は、新しいIANAの考慮事項を紹介しません。
The update of the RDATA format and encoding does not affect the security of the use of NSEC RRs.
RDATAフォーマットとエンコーディングの更新はNSEC RRの使用の安全性には影響しません。
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
[2] Eastlake 3rd, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[2]イーストレイク3日、D.、 "ドメインネームシステムのセキュリティ拡張機能"、RFC 2535、1999年3月。
[3] Eastlake 3rd, D., Brunner-Williams, E., and B. Manning, "Domain Name System (DNS) IANA Considerations", BCP 42, RFC 2929, September 2000.
[3]イーストレーク3、D.、ブルンナー - ウィリアムズ、E.、およびB.マニング、 "ドメインネームシステム(DNS)IANAの考慮事項"、BCP 42、RFC 2929、2000年9月。
[4] Gustafsson, A., "Handling of Unknown DNS Resource Record (RR) Types", RFC 3597, September 2003.
[4]、RFC 3597、2003年9月グスタフソン、A.、 "未知のDNSリソースレコード(RR)タイプの取扱い"。
[5] Weiler, S., "Legacy Resolver Compatibility for Delegation Signer (DS)", RFC 3755, May 2004.
[5]ワイラー、S.、 "委任署名者のためのレガシーレゾルバの互換性(DS)"、RFC 3755、2004年5月。
[6] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[6] Mockapetris、P.、 "ドメイン名 - 概念と設備"、STD 13、RFC 1034、1987年11月。
[7] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[7] Mockapetris、P.、 "ドメイン名 - 実装及び仕様"、STD 13、RFC 1035、1987年11月。
[8] Andrews, M., "Negative Caching of DNS Queries (DNS NCACHE)", RFC 2308, March 1998.
[8]アンドリュース、M.、RFC 2308、1998年3月 "DNSクエリー(DNS NCACHE)のネガティブキャッシュ"。
The encoding described in this document was initially proposed by Mark Andrews. Other encodings where proposed by David Blacka and Michael Graff.
この文書で説明するエンコーディングは、最初のマーク・アンドリュースによって提案されました。デビッドBlackaとマイケルGraffのによって提案されたその他のエンコーディング。
Jakob Schlyter (editor) NIC-SE Box 5774 Stockholm SE-114 87 Sweden
ヤコブSchlyter(エディタ)NIC SEボックス5774ストックホルムSE-114 87スウェーデン
EMail: jakob@nic.se URI: http://www.nic.se/
電子メール:jakob@nic.se URI:http://www.nic.se/
Copyright (C) The Internet Society (2004).
著作権(C)インターネット協会(2004)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/S HE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とHEが表すCONTRIBUTOR、ORGANIZATION HE / S OR(もしあれば)後援されており、インターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示、「そのまま」で提供されていますOR情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証を含むがこれらに限定されないで、黙示。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the IETF's procedures with respect to rights in IETF Documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 IETF文書の権利に関するIETFの手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。