Network Working Group E. Lewis
Request for Comments: 4592 NeuStar
Updates: 1034, 2672 July 2006
Category: Standards Track
The Role of Wildcards
in the Domain Name System
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
著作権(C)インターネット協会(2006)。
Abstract
抽象
This is an update to the wildcard definition of RFC 1034. The interaction with wildcards and CNAME is changed, an error condition is removed, and the words defining some concepts central to wildcards are changed. The overall goal is not to change wildcards, but to refine the definition of RFC 1034.
これは、RFC 1034のワイルドカードとCNAMEが変更されるとの相互作用のワイルドカード定義に更新され、エラー状態が除去され、ワイルドカードを中心いくつかの概念を定義する単語が変更されます。全体的な目標は、ワイルドカードを変更するのではなく、RFC 1034の定義を洗練することではありません。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Motivation .................................................3
1.2. The Original Definition ....................................3
1.3. Roadmap to This Document ...................................4
1.3.1. New Terms ...........................................5
1.3.2. Changed Text ........................................5
1.3.3. Considerations with Special Types ...................5
1.4. Standards Terminology ......................................6
2. Wildcard Syntax .................................................6
2.1. Identifying a Wildcard .....................................6
2.1.1. Wildcard Domain Name and Asterisk Label .............6
2.1.2. Asterisks and Other Characters ......................7
2.1.3. Non-terminal Wildcard Domain Names ..................7
2.2. Existence Rules ............................................7
2.2.1. An Example ..........................................8
2.2.2. Empty Non-terminals .................................9
2.2.3. Yet Another Definition of Existence ................10
2.3. When Is a Wildcard Domain Name Not Special? ...............10
3. Impact of a Wildcard Domain Name on a Response .................10
3.1. Step 2 ....................................................11
3.2. Step 3 ....................................................11
3.3. Part 'c' ..................................................12
3.3.1. Closest Encloser and the Source of Synthesis .......12
3.3.2. Closest Encloser and Source of Synthesis Examples ..13
3.3.3. Type Matching ......................................13
4. Considerations with Special Types ..............................14
4.1. SOA RRSet at a Wildcard Domain Name .......................14
4.2. NS RRSet at a Wildcard Domain Name ........................14
4.2.1. Discarded Notions ..................................15
4.3. CNAME RRSet at a Wildcard Domain Name .....................16
4.4. DNAME RRSet at a Wildcard Domain Name .....................16
4.5. SRV RRSet at a Wildcard Domain Name .......................17
4.6. DS RRSet at a Wildcard Domain Name ........................17
4.7. NSEC RRSet at a Wildcard Domain Name ......................18
4.8. RRSIG at a Wildcard Domain Name ...........................18
4.9. Empty Non-terminal Wildcard Domain Name ...................18
5. Security Considerations ........................................18
6. References .....................................................18
6.1. Normative References ......................................18
6.2. Informative References ....................................19
7. Others Contributing to the Document ............................19
In RFC 1034 [RFC1034], sections 4.3.2 and 4.3.3 describe the synthesis of answers from special resource records (RRs) called wildcards. The definition in RFC 1034 is incomplete and has proven to be confusing. This document describes the wildcard synthesis by adding to the discussion and making limited modifications. Modifications are made to close inconsistencies that have led to interoperability issues. This description does not expand the service intended by the original definition.
RFC 1034に[RFC1034]、セクション4.3.2および4.3.3は、特殊なリソースレコード(RR)からの回答の合成はワイルドカードと呼ばれる記述します。 RFC 1034で定義が不完全であり、混乱を招くことが証明されています。この文書は、議論への追加や限られた修正を行うことで、ワイルドカードの合成が記載されています。変更は、相互運用性の問題につながっている矛盾を閉じるように作られています。この説明は、元の定義が意図したサービスを展開しません。
Staying within the spirit and style of the original documents, this document avoids specifying rules for DNS implementations regarding wildcards. The intention is to only describe what is needed for interoperability, not restrict implementation choices. In addition, consideration is given to minimize any backward-compatibility issues with implementations that comply with RFC 1034's definition.
原稿の精神とスタイルの中に滞在し、この文書では、ワイルドカードについてのDNS実装のための規則を指定して回避できます。その意図は、唯一の実装の選択を制限し、相互運用性のために必要とされるものではない記述することです。また、対価はRFC 1034の定義に準拠して実装して任意の下位互換性の問題を最小限にするために与えられています。
This document is focused on the concept of wildcards as defined in RFC 1034. Nothing is implied regarding alternative means of synthesizing resource record sets (RRSets), nor are alternatives discussed.
RFC 1034で定義されて何もリソースレコードセット(RRセット)を合成する代替手段について示唆され、また代替案が議論されているように、この文書は、ワイルドカードの概念に焦点を当てています。
Many DNS implementations diverge, in different ways, from the original definition of wildcards. Although there is clearly a need to clarify the original documents in light of this alone, the impetus for this document lay in the engineering of the DNS security extensions [RFC4033]. With an unclear definition of wildcards, the design of authenticated denial became entangled.
多くのDNS実装はワイルドカードの本来の定義から、さまざまな方法で、発散します。これだけの光で原稿を明確にする必要性が明らかに存在するが、この文書の原動力は、DNSセキュリティ拡張[RFC4033]のエンジニアリングに横たわっていました。ワイルドカードの不明確な定義により、認証された否定のデザインがもつれになりました。
This document is intended to limit its changes, documenting only those deemed necessary based on implementation experience, and to remain as close to the original document as possible. To reinforce that this document is meant to clarify and adjust and not redefine wildcards, relevant sections of RFC 1034 are repeated verbatim to facilitate comparison of the old and new text.
この文書は、実装経験に基づいて必要と認められるもののみを記録、その変更を制限して、可能な限り元の文書に近いままにすることを意図しています。この文書は明確にし、調整し、ワイルドカードを再定義しないように意図されていることを強化するには、RFC 1034の関連セクションは、古いものと新しいテキストの比較を容易にするために、逐語的に繰り返されます。
The definition of the wildcard concept is comprised by the documentation of the algorithm by which a name server prepares a response (in RFC 1034's section 4.3.2) and the way in which a resource record (set) is identified as being a source of synthetic data (section 4.3.3).
ワイルドカード概念の定義は、ネームサーバが(RFC 1034のセクション4.3.2で)応答を準備していることにより、アルゴリズムのドキュメントとリソースレコード(セット)は、合成の源であると特定される方法によって構成されていますデータ(セクション4.3.3)。
This is the definition of the term "wildcard" as it appears in RFC 1034, section 4.3.3.
それはRFC 1034、セクション4.3.3に表示されますので、これは用語「ワイルドカード」の定義です。
# In the previous algorithm, special treatment was given to RRs with # owner names starting with the label "*". Such RRs are called # wildcards. Wildcard RRs can be thought of as instructions for # synthesizing RRs. When the appropriate conditions are met, the # name server creates RRs with an owner name equal to the query name # and contents taken from the wildcard RRs.
以前のアルゴリズムでは#は、特別な治療は、ラベル「*」で始まる#所有者名を持つのRRに与えられました。このようなRRは#ワイルドカードと呼ばれています。ワイルドカードRRは#合成のRRのための指示と考えることができます。適切な条件が満たされた場合、#ネームサーバは、ワイルドカードのRRから採取されたクエリ名位、内容に等しい所有者名とRRを作成します。
This passage follows the algorithm in which the term wildcard is first used. In this definition, wildcard refers to resource records. In other usage, wildcard has referred to domain names, and it has been used to describe the operational practice of relying on wildcards to generate answers. It is clear from this that there is a need to define clear and unambiguous terminology in the process of discussing wildcards.
この通路は、用語のワイルドカードが最初に使用されるアルゴリズムに従います。この定義では、ワイルドカードは、レコードのリソースを参照します。他の用法では、ワイルドカードは、ドメイン名を参照した、そして答えを生成するために、ワイルドカードに頼るの運用練習を記述するために使用されてきました。ワイルドカードを議論する過程で明らかにし、明確な用語を定義する必要があることがこのことから明らかです。
The mention of the use of wildcards in the preparation of a response is contained in step 3, part 'c' of RFC 1034's section 4.3.2, entitled "Algorithm". Note that "wildcard" does not appear in the algorithm, instead references are made to the "*" label. The portion of the algorithm relating to wildcards is deconstructed in detail in section 3 of this document; this is the beginning of the relevant portion of the "Algorithm".
応答の準備におけるワイルドカードの使用についての言及は、「アルゴリズム」と題されたRFC 1034のセクション4.3.2のステップ3、パート「C」に含まれています。参照は、「*」のラベルに作られて代わりに「ワイルドカード」は、アルゴリズムに表示されないことに注意してください。ワイルドカードに関連するアルゴリズムの部分は、このドキュメントのセクション3で詳細に解体されます。これは、「アルゴリズム」の関連部分の始まりです。
# c. If at some label, a match is impossible (i.e., the # corresponding label does not exist), look to see if [...] # the "*" label exists.
#Cを。いくつかのラベルで、試合は(すなわち、#対応するラベルが存在しない)ことは不可能である場合は、[...]#「*」ラベルが存在するかどうかを確認します。
The scope of this document is the RFC 1034 definition of wildcards and the implications of updates to those documents, such as DNS Security (DNSSEC). Alternate schemes for synthesizing answers are not considered. (Note that there is no reference listed. No document is known to describe any alternate schemes, although there has been some mention of them in mailing lists.)
この文書の範囲は、ワイルドカードのRFC 1034の定義と、そのようなDNSセキュリティ(DNSSEC)としてそれらの文書に対する更新の意味合いです。答えを合成するための代替方式が考慮されていません。 (メーリングリストでそれらのいくつかの言及があったものの、記載されている何の言及がないことに注意してください。いかなる文書は、任意の代替方式を説明することが知られていません。)
This document accomplishes these three tasks.
この文書では、これら3つのタスクを達成します。
o Defines new terms
oは新しい用語を定義します
o Makes minor changes to avoid conflicting concepts
oは相反する概念を避けるために小さな変更を行います
o Describes the actions of certain resource records as wildcards
oは、ワイルドカードなどの特定のリソースレコードのアクションを記述します
To help in discussing what resource records are wildcards, two terms will be defined: "asterisk label" and "wildcard domain name". These are defined in section 2.1.1.
リソースレコードはワイルドカードであるかを議論して支援するために、2つの用語が定義されます:「アスタリスクラベル」と「ワイルドカードドメイン名」。これらは、セクション2.1.1で定義されています。
To assist in clarifying the role of wildcards in the name server algorithm in RFC 1034, section 4.3.2, "source of synthesis" and "closest encloser" are defined. These definitions are in section 3.3.1. "Label match" is defined in section 3.2.
RFC 1034、セクション4.3.2にネームサーバのアルゴリズムでワイルドカードの役割を明確に支援するために、「合成の源」と「最も近いencloserは、」定義されています。これらの定義は、セクション3.3.1です。 「ラベルの一致は、」3.2節で定義されています。
The new terms are used to make discussions of wildcards clearer. Terminology does not directly have an impact on implementations.
新しい用語が明確にワイルドカードの議論を行うために使用されています。用語は、直接実装に影響を与えることはありません。
The definition of "existence" is changed superficially. This change will not be apparent to implementations; it is needed to make descriptions more precise. The change appears in section 2.2.3.
「存在」の定義は、表面的に変更されます。この変更は、実装には明らかではありません。説明がより正確にするために必要とされています。変更は、セクション2.2.3に表示されます。
RFC 1034, section 4.3.3, seems to prohibit having two asterisk labels in a wildcard owner name. With this document, the restriction is removed entirely. This change and its implications are in section 2.1.3.
RFC 1034、セクション4.3.3は、ワイルドカード所有者名で2つのアスタリスクラベルを持つ禁止するようです。この文書では、制限が完全に削除されます。この変化とその意味は、セクション2.1.3です。
The actions when a source of synthesis owns a CNAME RR are changed to mirror the actions if an exact match name owns a CNAME RR. This is an addition to the words in RFC 1034, section 4.3.2, step 3, part 'c'. The discussion of this is in section 3.3.3.
合成の源は、CNAME RRを所有しているアクションは完全一致名がCNAME RRを所有している場合、アクションを反映するように変更されています。これは、RFC 1034のセクション4.3.2、ステップ3、パート「C」の単語に加えています。これについての議論は、セクション3.3.3です。
Only the latter change represents an impact to implementations. The definition of existence is not a protocol impact. The change to the restriction on names is unlikely to have an impact, as RFC 1034 contained no specification on when and how to enforce the restriction.
後者のみ変更が実装への影響を表します。存在の定義は、プロトコルの影響はありません。 RFC 1034は、どのように制限を適用するには仕様を含まないように名前の制限の変更は、影響を与えにくいです。
This document describes semantics of wildcard RRSets for "interesting" types as well as empty non-terminal wildcards. Understanding these situations in the context of wildcards has been clouded because these types incur special processing if they are the result of an exact match. This discussion is in section 4.
この文書では、「興味深い」タイプのワイルドカードRRセットだけでなく、空の非終端ワイルドカードの意味を説明しています。彼らは完全一致の結果であるならば、これらのタイプは、特別な処理が発生するので、ワイルドカードのコンテキストでこれらの状況を理解することは白濁しています。この議論は、セクション4です。
These discussions do not have an implementation impact; they cover existing knowledge of the types, but to a greater level of detail.
これらの議論は、実装の影響はありません。彼らはタイプの既存の知識をカバーしますが、より詳細なレベルまで。
This document does not use terms as defined in "Key words for use in RFCs to Indicate Requirement Levels" [RFC2119].
「要件レベルを示すためにRFCsにおける使用のためのキーワード」[RFC2119]で定義されている。この文書では、用語を使用していません。
Quotations of RFC 1034 are denoted by a '#' at the start of the line. References to section "4.3.2" are assumed to refer to RFC 1034's section 4.3.2, simply titled "Algorithm".
RFC 1034の引用は、行の先頭に「#」が付されています。セクション「4.3.2」への言及は、単に「アルゴリズム」というタイトルRFC 1034のセクション4.3.2を参照すると仮定されています。
The syntax of a wildcard is the same as any other DNS resource record, across all classes and types. The only significant feature is the owner name.
ワイルドカードの構文は、すべてのクラスとタイプ間、他のDNSリソースレコードと同じです。唯一の重要な特徴は、所有者名です。
Because wildcards are encoded as resource records with special names, they are included in zone transfers and incremental zone transfers [RFC1995] just as non-wildcard resource records are. This feature has been under appreciated until discussions on alternative approaches to wildcards appeared on mailing lists.
ワイルドカードは、特別な名前を持つリソースレコードとしてエンコードされているので、それらは非ワイルドカードのリソースレコードがあると同じようにゾーン転送と差分ゾーン転送[RFC1995]に含まれています。ワイルドカードへの代替アプローチに関する議論は、メーリングリストに登場するまで、この機能が高く評価されてきました。
To provide a more accurate description of wildcards, the definition has to start with a discussion of the domain names that appear as owners. Two new terms are needed, "asterisk label" and "wildcard domain name".
ワイルドカードのより正確な記述を提供するために、定義が所有者として表示されるドメイン名の議論を開始することがあります。二つの新しい用語は、「アスタリスクラベル」と「ワイルドカードドメイン名」が必要です。
A "wildcard domain name" is defined by having its initial (i.e., leftmost or least significant) label be, in binary format:
:「ワイルドカードドメイン名は、」初期(すなわち、左端または最下位)ラベルがバイナリ形式であることを有することによって定義されます。
0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)
0001 0010 1010 0000(バイナリ)= 0x01で0x2a(16進数)
The first octet is the normal label type and length for a 1-octet-long label, and the second octet is the ASCII representation [RFC20] for the '*' character.
最初のオクテットは1オクテット長のラベルの通常ラベルの種類と長さであり、第2オクテットは、「*」文字のASCII表現[RFC20]です。
A descriptive name of a label equaling that value is an "asterisk label".
その値に等しいラベルの説明的な名前は、「アスタリスクラベル」です。
RFC 1034's definition of wildcard would be "a resource record owned by a wildcard domain name".
ワイルドカードのRFC 1034の定義は、「ワイルドカードドメイン名が所有するリソースレコード」になります。
No label values other than that in section 2.1.1 are asterisk labels, hence names beginning with other labels are never wildcard domain names. Labels such as 'the*' and '**' are not asterisk labels, so these labels do not start wildcard domain names.
セクション2.1.1でそれ以外のラベルの値は、他のラベルで始まる名前は、ワイルドカードドメイン名は決してありませんので、アスタリスクラベルはありません。そのような「*」と「**」としてラベルは、アスタリスクのラベルではありませんので、これらのラベルは、ワイルドカードドメイン名を開始しないでください。
In section 4.3.3, the following is stated:
セクション4.3.3では、次のように述べています:
# .......................... The owner name of the wildcard RRs is
# of the form "*.<anydomain>", where <anydomain> is any domain name.
# <anydomain> should not contain other * labels......................
The restriction is now removed. The original documentation of it is incomplete and the restriction does not serve any purpose given years of operational experience.
制限が削除されました。それの元のドキュメントが不完全であり、制限が運用経験のいずれかの目的で与えられた年にサービスを提供しません。
There are three possible reasons for putting the restriction in place, but none of the three has held up over time. One is that the restriction meant that there would never be subdomains of wildcard domain names, but the restriction as stated still permits "example.*.example." for instance. Another is that wildcard domain names are not intended to be empty non-terminals, but this situation does not disrupt the algorithm in 4.3.2. Finally, "nested" wildcard domain names are not ambiguous once the concept of the closest encloser had been documented.
そこの場所に制限を置くための3つの可能な理由がありますが、3のどれも時間をかけて開催されていません。一つは、制限は、ワイルドカードドメイン名のサブドメインがないだろうことを意味しますが、上述のような制限がまだ可能にすることである「の例を。*。例。」例えば。もう一つは、ワイルドカードドメイン名が空の非端末であることを意図していないが、この状況は4.3.2でアルゴリズムを破壊しないということです。最も近いencloserの概念が文書化された後は最後に、「ネストされた」ワイルドカードドメイン名はあいまいではありません。
A wildcard domain name can have subdomains. There is no need to inspect the subdomains to see if there is another asterisk label in any subdomain.
ワイルドカードドメイン名はサブドメインを持つことができます。任意のサブドメイン内の別のアスタリスクラベルがあるかどうかを確認するためにサブドメインを検査する必要はありません。
A wildcard domain name can be an empty non-terminal. (See the upcoming sections on empty non-terminals.) In this case, any lookup encountering it will terminate as would any empty non-terminal match.
ワイルドカードドメイン名が空の非終端することができます。 (空の非端末に今後のセクションを参照。)この場合には、空の非末端マッチが同じように終了する遭遇任意のルックアップ。
The notion that a domain name 'exists' is mentioned in the definition of wildcards. In section 4.3.3 of RFC 1034:
ドメイン名が「存在する」という概念は、ワイルドカードの定義に記載されています。 RFC 1034のセクション4.3.3には:
# Wildcard RRs do not apply: # ... # - When the query name or a name between the wildcard domain and # the query name is know[n] to exist. . . .
#ワイルドカードRRは適用されません:#...# - クエリ名またはクエリ名が存在する[n]が知られているワイルドカードドメインと#間の名前。 。 。 。
"Existence" is therefore an important concept in the understanding of wildcards. Unfortunately, the definition of what exists, in RFC 1034, is unclear. So, in sections 2.2.2. and 2.2.3, another look is taken at the definition of existence.
「存在は、」したがって、ワイルドカードを理解する上で重要な概念です。残念ながら、存在するものの定義は、RFC 1034で、不明です。だから、セクション2.2.2インチおよび2.2.3、別の表情は、存在の定義で取られています。
To illustrate what is meant by existence consider this complete zone:
存在が何を意味するのか説明するために、この完全なゾーンを考慮してください。
$ORIGIN example. example. 3600 IN SOA <SOA RDATA> example. 3600 NS ns.example.com. example. 3600 NS ns.example.net. *.example. 3600 TXT "this is a wildcard" *.example. 3600 MX 10 host1.example. sub.*.example. 3600 TXT "this is not a wildcard" host1.example. 3600 A 192.0.2.1 _ssh._tcp.host1.example. 3600 SRV <SRV RDATA> _ssh._tcp.host2.example. 3600 SRV <SRV RDATA> subdel.example. 3600 NS ns.example.com. subdel.example. 3600 NS ns.example.net.
$ ORIGIN例。例。 3600 SOA <SOA RDATA>の例では。 3600 NS ns.example.com。例。 3600 NSのns.example.net。 *。実施例。 3600 TXTは、*。実施例「これはワイルドカードです」。 3600 MX 10 host1.example。サブ。*。例。 3600 TXT host1.example「これはワイルドカードではありません」。 3600 192.0.2.1の_ssh._tcp.host1.example。 3600 SRV <SRV RDATA> _ssh._tcp.host2.example。 3600 SRV <SRV RDATA> subdel.example。 3600 NS ns.example.com。 subdel.example。 3600 NSのns.example.net。
A look at the domain names in a tree structure is helpful:
ツリー構造内のドメイン名を見て便利です。
|
-------------example------------
/ / \ \
/ / \ \
/ / \ \
* host1 host2 subdel
| | |
| | |
sub _tcp _tcp
| |
| |
_ssh _ssh
The following responses would be synthesized from one of the wildcards in the zone:
次の応答は、ゾーン内のワイルドカードの1から合成することになります。
QNAME=host3.example. QTYPE=MX, QCLASS=IN the answer will be a "host3.example. IN MX ..."
QNAME = host3.example。 QTYPE = MX、QCLASSは=の回答で "host3.example。MX ... IN" になります
QNAME=host3.example. QTYPE=A, QCLASS=IN the answer will reflect "no error, but no data" because there is no A RR set at '*.example.'
QNAME = host3.example。 RRセット何ら存在しないための回答でQTYPE = A、QCLASSは=「エラーが、データなし」を反映しません「*。実施例は。」
QNAME=foo.bar.example. QTYPE=TXT, QCLASS=IN the answer will be "foo.bar.example. IN TXT ..." because bar.example. does not exist, but the wildcard does.
QNAME = foo.bar.example。回答でQTYPE = TXT、QCLASSは= "foo.bar.example。TXT ... IN" になりますbar.exampleので。存在しないが、ワイルドカードはありません。
The following responses would not be synthesized from any of the wildcards in the zone:
次の応答は、ゾーン内のワイルドカードのいずれかから合成されません。
QNAME=host1.example., QTYPE=MX, QCLASS=IN because host1.example. exists
QNAME = host1.example。、QTYPE = MX、QCLASS IN = host1.exampleので。存在します
QNAME=sub.*.example., QTYPE=MX, QCLASS=IN because sub.*.example. exists
QNAME =サブ。*。例。、QTYPE = MX、QCLASS IN =ので、サブ。*。例。存在します
QNAME=_telnet._tcp.host1.example., QTYPE=SRV, QCLASS=IN because _tcp.host1.example. exists (without data)
QNAME = _telnet._tcp.host1.example。、QTYPE = SRV、QCLASS IN = _tcp.host1.exampleので。 (データなし)が存在します
QNAME=host.subdel.example., QTYPE=A, QCLASS=IN because subdel.example. exists (and is a zone cut)
QNAME = host.subdel.example。、QTYPE = A、QCLASS IN = subdel.exampleので。存在(およびゾーン切断されます)
QNAME=ghost.*.example., QTYPE=MX, QCLASS=IN because *.example. exists
QNAME =幽霊。*。例。、QTYPE = MX、QCLASS IN = *ので。実施例。存在します
The final example highlights one common misconception about wildcards. A wildcard "blocks itself" in the sense that a wildcard does not match its own subdomains. That is, "*.example." does not match all names in the "example." zone; it fails to match the names below "*.example.". To cover names under "*.example.", another wildcard domain name is needed--"*.*.example."--which covers all but its own subdomains.
最後の例は、ワイルドカードについての一つの共通の誤解を強調しています。ワイルドカードは、独自のサブドメインと一致していないという意味で、ワイルドカード「ブロックそのもの」。それは、「*。実施例。」であり、内のすべての名前と一致していません「の例。」ゾーン;それは、以下の名前と一致するように失敗し、「*。実施例を。」。 「*。実施例」の下の名前をカバーするために、別のワイルドカードドメイン名が必要とされている - 「* *例。。。」 - すべてが、独自のサブドメインをカバーしています。
Empty non-terminals [RFC2136, section 7.16] are domain names that own no resource records but have subdomains that do. In section 2.2.1, "_tcp.host1.example." is an example of an empty non-terminal name. Empty non-terminals are introduced by this text in section 3.1 of RFC 1034:
空の非終端[RFC2136、セクション7.16]は何のリソースレコードを所有していないが、やるのサブドメインを持つドメイン名です。セクション2.2.1では、 "_tcp.host1.example。"空の非端末名の例です。空の非端末は、RFC 1034のセクション3.1で、このテキストによって導入されています。
# The domain name space is a tree structure. Each node and leaf on # the tree corresponds to a resource set (which may be empty). The # domain system makes no distinctions between the uses of the # interior nodes and leaves, and this memo uses the term "node" to # refer to both.
#ドメイン名空間は、ツリー構造です。 #の各ノードとリーフツリーは、リソース集合(空であってもよい)に対応します。 #ドメインシステムは#内部ノードとリーフの使用の間には区別を行わず、このメモは#の両方を指すために、用語「ノード」を使用します。
The parenthesized "which may be empty" specifies that empty non-terminals are explicitly recognized and that empty non-terminals "exist".
「空の場合もある」括弧で囲まれ、空の非端末が明示的に認識され、その空の非端末が「存在する」ことを指定します。
Pedantically reading the above paragraph can lead to an interpretation that all possible domains exist--up to the suggested limit of 255 octets for a domain name [RFC1035]. For example, www.example. may have an A RR, and as far as is practically concerned, is a leaf of the domain tree. But the definition can be taken to mean that sub.www.example. also exists, albeit with no data. By extension, all possible domains exist, from the root on down.
ドメイン名[RFC1035]のための255オクテットの提案限界まで - Pedantically上の段落を読んだことは可能なすべてのドメインが存在し、解釈につながることができます。例えば、www.example。 A RRを持ち、そして限り、実質的に懸念しているとして、ドメインツリーの葉であることがあります。しかし、定義はそのsub.www.exampleを意味すると解釈することができます。また、データのないとはいえ、存在しています。延長することで、すべての可能なドメインがダウン上のルートから、存在します。
As RFC 1034 also defines "an authoritative name error indicating that the name does not exist" in section 4.3.1, so this apparently is not the intent of the original definition, justifying the need for an updated definition in the next section.
RFC 1034としてもセクション4.3.1で、ので、これは明らかに次のセクションでは、更新定義の必要性を正当化する、元の定義の意図するところではない「名が存在しないことを示す権限のあるネームエラー」を定義します。
RFC 1034's wording is fixed by the following paragraph:
RFC 1034の文言は次の段落で固定されています。
The domain name space is a tree structure. Nodes in the tree either own at least one RRSet and/or have descendants that collectively own at least one RRSet. A node may exist with no RRSets only if it has descendants that do; this node is an empty non-terminal.
ドメイン名空間は、ツリー構造です。ツリー内のノード自身の少なくとも一つの資源レコード集合および/またはいずれかをまとめ少なくとも一つの資源レコード集合を所有して子孫を持っています。ノードは、それが何の子孫を持っている場合のみなしRRセットで存在してもよいです。このノードは、空の非端末です。
A node with no descendants is a leaf node. Empty leaf nodes do not exist.
ノー子孫を持つノードがリーフノードです。空のリーフノードは存在しません。
Note that at a zone boundary, the domain name owns data, including the NS RR set. In the delegating zone, the NS RR set is not authoritative, but that is of no consequence here. The domain name owns data; therefore, it exists.
ゾーンの境界で、ドメイン名はNSのRRセットを含むデータを、所有していることに注意してください。委譲ゾーンでは、NSのRRセットは権威ではないですが、それはここでは全く重要です。ドメイン名は、データを所有しています。そのため、それが存在します。
When a wildcard domain name appears in a message's query section, no special processing occurs. An asterisk label in a query name only matches a single, corresponding asterisk label in the existing zone tree when the 4.3.2 algorithm is being followed.
ワイルドカードドメイン名は、メッセージのクエリ]セクションに表示されたら、特別な処理は発生しません。 4.3.2アルゴリズムが続いているときに、クエリ名にアスタリスクラベルは、既存のゾーンツリー内の1つ、対応するアスタリスクラベルと一致します。
When a wildcard domain name appears in the resource data of a record, no special processing occurs. An asterisk label in that context literally means just an asterisk.
ワイルドカードドメイン名は、レコードのリソースデータに表示されたら、特別な処理は発生しません。その文脈のアスタリスクラベルは文字通り、アスタリスクを意味します。
RFC 1034's description of how wildcards impact response generation is in its section 4.3.2. That passage contains the algorithm followed by a server in constructing a response. Within that algorithm, step 3, part 'c' defines the behavior of the wildcard.
どのようにワイルドカード衝撃応答生成のRFC 1034の記述は、そのセクション4.3.2です。その通路は、応答を構築する上で、サーバーが続くアルゴリズムが含まれています。そのアルゴリズム内で、ステップ3、パート「c」はワイルドカードの挙動を定義します。
The algorithm in section 4.3.2 is not intended to be pseudo-code; that is, its steps are not intended to be followed in strict order. The "algorithm" is a suggested means of implementing the requirements. As such, in step 3, parts 'a', 'b', and 'c' do not have to be implemented in that order, provided that the result of the implemented code is compliant with the protocol's specification.
セクション4.3.2におけるアルゴリズムは擬似コードであることを意図するものではありません。つまり、そのステップは、厳密な順序に続くことを意図するものではありません。 「アルゴリズムは、」要件の実装の推奨手段です。このように、ステップ3で、部品「A」、「B」、及び「C」がその順序で実施する必要はなく、実装コードの結果が、プロトコルの仕様に準拠していることを条件とします。
Step 2 of section 4.3.2 reads:
セクション4.3.2のステップ2を読み取ります。
# 2. Search the available zones for the zone which is the nearest # ancestor to QNAME. If such a zone is found, go to step 3, # otherwise step 4.
#2。は、QNAMEに最も近い#の祖先であるゾーンの利用可能ゾーンを検索します。こうしたゾーンが見つかった場合は、#それ以外の場合は手順4、手順3に進みます。
In this step, the most appropriate zone for the response is chosen. The significance of this step is that it means all of step 3 is being performed within one zone. This has significance when considering whether or not an SOA RR can ever be used for synthesis.
このステップでは、応答のための最も適切なゾーンが選択されています。このステップの重要性は、それがステップ3の全てが一つのゾーン内で行われている意味です。 SOA RRがこれまで合成に使用することができるかどうかを検討する際にこれが意味を持ちます。
Step 3 is dominated by three parts, labeled 'a', 'b', and 'c'. But the beginning of the step is important and needs explanation.
ステップ3は、「A」標識された3つの部分によって支配「B」、および「C」されています。しかし、ステップの始まりは重要であるとの説明が必要です。
# 3. Start matching down, label by label, in the zone. The # matching process can terminate several ways:
#3。スタートゾーンで、ラベルで、ラベルを下に一致します。 #マッチング処理は、いくつかの方法を終了することができます。
The word 'matching' refers to label matching. The concept is based in the view of the zone as the tree of existing names. The query name is considered to be an ordered sequence of labels--as if the name were a path from the root to the owner of the desired data (which it is--3rd paragraph of RFC 1034, section 3.1).
単語「マッチングは」ラベルマッチングを指します。コンセプトは、既存の名前のツリーとしてゾーンのビューを拠点としています。クエリ名は、ラベルの順序付けられたシーケンスであると考えられている - 名前は、( - RFC 1034の3番目の段落、セクション3.1がある)は、所望のデータの所有者へのルートからのパスであるかのように。
The process of label matching a query name ends in exactly one of three choices, the parts 'a', 'b', and 'c'. Either the name is found, the name is below a cut point, or the name is not found.
クエリ名と一致するラベルのプロセスは、正確に3つの選択肢が、部品「A」、「B」、および「C」で終わります。どちらの名前は、名前がカットポイント下回っている、または名前が見つからない場合、発見されました。
Once one of the parts is chosen, the other parts are not considered (e.g., do not execute part 'c' and then change the execution path to finish in part 'b'). The process of label matching is also done independent of the query type (QTYPE).
部品の一つが選択されると、他の部分(例えば、部分「C」を実行した後、部分的に「B」を終了する実行パスを変更しない)とみなされません。ラベルマッチングのプロセスは、クエリのタイプ(QTYPE)とは独立して行われます。
Parts 'a' and 'b' are not an issue for this clarification as they do not relate to record synthesis. Part 'a' is an exact match that results in an answer; part 'b' is a referral.
彼らは合成を記録するために関係しないよう部品「a」と「b」この明確化のための問題ではありません。パート「」答えになり完全一致です。一部「B」の紹介です。
The context of part 'c' is that the process of label matching the labels of the query name has resulted in a situation in which there is no corresponding label in the tree. It is as if the lookup has "fallen off the tree".
一部「C」のコンテキストは、クエリ名のラベルに一致するラベルのプロセスは、ツリー内に対応するラベルが存在しないような状況をもたらしているということです。検索は「木から落ち」しているかのようにそれはあります。
# c. If at some label, a match is impossible (i.e., the # corresponding label does not exist), look to see if [...] # the "*" label exists.
#Cを。いくつかのラベルで、試合は(すなわち、#対応するラベルが存在しない)ことは不可能である場合は、[...]#「*」ラベルが存在するかどうかを確認します。
To help describe the process of looking 'to see if [...] the "*" label exists' a term has been coined to describe the last domain (node) matched. The term is "closest encloser".
用語が最後のドメイン(ノード)を記述するために鋳造された「[...] 『*』ラベルが存在するかどうかを確認するために」見てのプロセスを記述するための助けになると一致しました。用語は、「最も近いencloser」です。
The closest encloser is the node in the zone's tree of existing domain names that has the most labels matching the query name (consecutively, counting from the root label downward). Each match is a "label match" and the order of the labels is the same.
最も近いencloser(連続し、下方へのルートラベルから数えて)、クエリ名に一致する最もラベルを持つ既存のドメイン名のゾーンのツリー内のノードです。各試合は、「ラベルの一致」とラベルの順序は同じです。
The closest encloser is, by definition, an existing name in the zone. The closest encloser might be an empty non-terminal or even be a wildcard domain name itself. In no circumstances is the closest encloser to be used to synthesize records for the current query.
最も近いencloserは、定義により、ゾーン内の既存の名前です。最も近いencloserでも、非末端またはワイルドカードドメイン名自体も空である可能性があります。どのような状況では、現在のクエリのレコードを合成するために使用される最も近いencloserです。
The source of synthesis is defined in the context of a query process as that wildcard domain name immediately descending from the closest encloser, provided that this wildcard domain name exists. "Immediately descending" means that the source of synthesis has a name of the form:
直ちに最も近いencloserから下降そのワイルドカードドメイン名は、このワイルドカードドメイン名が存在することを提供されるような合成のソースは、クエリプロセスのコンテキストで定義されています。 「直ちに下降」合成の供給源は、フォームの名前を有することを意味します。
<asterisk label>.<closest encloser>.
<アスタリスクラベル>。<最も近い囲い>。
A source of synthesis does not guarantee having a RRSet to use for synthesis. The source of synthesis could be an empty non-terminal.
合成の源は、合成に使用する資源レコード集合を持つ保証するものではありません。合成の供給源は、空の非末端とすることができます。
If the source of synthesis does not exist (not on the domain tree), there will be no wildcard synthesis. There is no search for an alternate.
合成のソースは(ないドメインツリーには)存在しない場合、ワイルドカード合成はありません。代替のための検索はありません。
The important concept is that for any given lookup process, there is at most one place at which wildcard synthetic records can be obtained. If the source of synthesis does not exist, the lookup terminates, and the lookup does not look for other wildcard records.
重要な概念は、任意の検索処理のために、ワイルドカード合成記録が得られるで最大1つの場所であるということです。合成のソースが存在しない場合は、ルックアップが終了し、ルックアップは、他のワイルドカードレコードを探していません。
To illustrate, using the example zone in section 2.2.1 of this document, the following chart shows QNAMEs and the closest enclosers.
この文書のセクション2.2.1の例ゾーンを使用し、説明するために、以下のチャートは、のQNameと最も近いenclosersを示しています。
QNAME Closest Encloser Source of Synthesis host3.example. example. *.example. _telnet._tcp.host1.example. _tcp.host1.example. no source _dns._udp.host2.example. host2.example. no source _telnet._tcp.host3.example. example. *.example. _chat._udp.host3.example. example. *.example. foobar.*.example. *.example. no source
合成host3.exampleのQNAME最も近いencloserソース。例。 *。実施例。 _telnet._tcp.host1.example。 _tcp.host1.example。何のソース_dns._udp.host2.exampleません。 host2.example。何のソース_telnet._tcp.host3.exampleません。例。 *。実施例。 _chat._udp.host3.example。例。 *。実施例。 foobarに。*。例。 *。実施例。いいえソース
RFC 1034 concludes part 'c' with this:
RFC 1034はこれで一部「C」を結論します:
# If the "*" label does not exist, check whether the name # we are looking for is the original QNAME in the query # or a name we have followed due to a CNAME. If the name # is original, set an authoritative name error in the # response and exit. Otherwise just exit. # # If the "*" label does exist, match RRs at that node # against QTYPE. If any match, copy them into the answer # section, but set the owner of the RR to be QNAME, and # not the node with the "*" label. Go to step 6.
#「*」ラベルが存在しない場合は、我々が探している名前#は、クエリ#で元QNAMEか、我々が原因CNAMEに従ってきた名前であるかどうかを確認してください。名前#がオリジナルであれば、#応答して終了して権限のあるネームエラーを設定します。それ以外の場合だけで終了。 ##「*」ラベルが存在しない場合は、QTYPEに対するそのノード#での試合のRR。任意の一致した場合、回答#セクションにコピーしますが、RRの所有者がQNAMEに設定され、#ではない「*」ラベルを持つノード。ステップ6に進みます。
The final paragraph covers the role of the QTYPE in the lookup process.
最後の段落は、検索プロセスにおけるQTYPEの役割をカバーしています。
Based on implementation feedback and similarities between part 'a' and part 'c', a change to this passage has been made.
部との間の実装のフィードバックとの類似点「」と一部「C」に基づいて、この一節に変更が行われています。
The change is to add the following text to part 'c' prior to the instructions to "go to step 6":
変更は、「手順6に進みます」を指示する前に、「C」の部分に次のテキストを追加することです。
If the data at the source of synthesis is a CNAME, and QTYPE doesn't match CNAME, copy the CNAME RR into the answer section of the response changing the owner name to the QNAME, change QNAME to the canonical name in the CNAME RR, and go back to step 1.
合成の元のデータがCNAMEで、QTYPEがQNAMEに所有者名を変更し、応答の解答セクションにCNAME RRをコピーし、CNAMEと一致しない場合、CNAME RRでの正規名に変更しQNAME、そしてステップ1に戻ります。
This is essentially the same text in part 'a' covering the processing of CNAME RRSets.
これは、本質的に 'CNAME資源レコード集合の処理を覆う部分に同じテキストです。
Sections 2 and 3 of this document discuss wildcard synthesis with respect to names in the domain tree and ignore the impact of types. In this section, the implication of wildcards of specific types is discussed. The types covered are those that have proven to be the most difficult to understand. The types are SOA, NS, CNAME, DNAME, SRV, DS, NSEC, RRSIG, and "none", that is, empty non-terminal wildcard domain names.
このドキュメントのセクション2と3は、ドメインツリー内の名前に対するワイルドカードの合成を議論し、種類の影響を無視します。このセクションでは、特定のタイプのワイルドカードの意味について説明します。カバーのタイプを理解するのが最も困難であることが証明されたものです。種類はSOA、NS、CNAME、DNAME、SRV、DS、NSEC、RRSIG、および "なし"、つまり、空の非終端ワイルドカードドメイン名です。
A wildcard domain name owning an SOA RRSet means that the domain is at the root of the zone (apex). The domain cannot be a source of synthesis because that is, by definition, a descendant node (of the closest encloser) and a zone apex is at the top of the zone.
SOA資源レコード集合を所有しているワイルドカードドメイン名は、ドメインがゾーン(頂点)のルートにあることを意味しています。それは、定義により、(最も近いencloserの)子孫ノードとゾーンの頂点がゾーンの上部になっているため、ドメインは、合成のソースにすることはできません。
Although a wildcard domain name owning an SOA RRSet can never be a source of synthesis, there is no reason to forbid the ownership of an SOA RRSet.
SOA資源レコード集合を所有しているワイルドカードドメイン名が合成の源になることはありませんが、SOA資源レコード集合の所有を禁止する理由はありません。
For example, given this zone:
たとえば、このゾーンを与えられました:
$ORIGIN *.example. @ 3600 IN SOA <SOA RDATA> 3600 NS ns1.example.com. 3600 NS ns1.example.net. www 3600 TXT "the www txt record"
$ ORIGINの*の。実施例。 <SOA RDATA> 3600 NS ns1.example.com SOA 3600 @。 3600 NSのns1.example.net。 WWW 3600 TXT "WWWのTXTレコード"
A query for www.*.example.'s TXT record would still find the "the www txt record" answer. The asterisk label only becomes significant when section 4.3.2, step 3, part 'c' is in effect.
WWWのためのクエリ。*。例。のTXTレコードはまだ「WWWのTXTレコード」の答えを見つけるだろう。セクション4.3.2、ステップ3、パート「C」は有効になっているとき、アスタリスクラベルがのみ顕著になります。
Of course, there would need to be a delegation in the parent zone, "example." for this to work too. This is covered in the next section.
もちろん、親ゾーンで委任があるように必要があるだろう「例。」このために、あまりにも動作するように。これは、次のセクションで覆われています。
With the definition of DNSSEC [RFC4033, RFC4034, RFC4035] now in place, the semantics of a wildcard domain name owning an NS RRSet has come to be poorly defined. The dilemma relates to a conflict between the rules for synthesis in part 'c' and the fact that the resulting synthesis generates a record for which the zone is not authoritative. In a DNSSEC signed zone, the mechanics of signature management (generation and inclusion in a message) have become unclear.
今の場所でDNSSEC [RFC4033、RFC4034、RFC4035]の定義では、NS資源レコード集合を所有しているワイルドカードドメイン名の意味ははっきりしないようになってきました。ジレンマは、部分的に合成するための規則の競合「C」、得られた合成ゾーンが権限されていないレコードを生成するという事実に関連します。 DNSSEC署名されたゾーン内で、(メッセージで生成および包含)署名管理のメカニズムは不明となっています。
Salient points of the working group discussion on this topic are summarized in section 4.2.1.
このトピックに関するワーキンググループの議論の要点は、セクション4.2.1にまとめられています。
As a result of these discussions, there is no definition given for wildcard domain names owning an NS RRSet. The semantics are left undefined until there is a clear need to have a set defined, and until there is a clear direction to proceed. Operationally, inclusion of wildcard NS RRSets in a zone is discouraged, but not barred.
これらの議論の結果、NS資源レコード集合を所有しているワイルドカードドメイン名のために与えられた定義はありません。定義されたセットを持っている明確な必要性があるまで、セマンティクスは未定義のままにして、そこにあるまで、明確な方向性を続行します。操作上、ゾーン内のワイルドカードNS RRセットを含めることはお勧めできますが、禁止されていません。
Prior to DNSSEC, a wildcard domain name owning a NS RRSet appeared to be workable, and there are some instances in which it is found in deployments using implementations that support this. Continuing to allow this in the specification is not tenable with DNSSEC. The reason is that the synthesis of the NS RRSet is being done in a zone that has delegated away the responsibility for the name. This "unauthorized" synthesis is not a problem for the base DNS protocol, but DNSSEC in affirming the authorization model for DNS exposes the problem.
DNSSECに先立ち、NS資源レコード集合を所有しているワイルドカードドメイン名は実行可能であるように見え、それがこれをサポートする実装を使用して展開で見つかったいくつかの事例があります。仕様ではこれを許可し続けると、DNSSECとの批判に耐えられるではありません。その理由は、NS資源レコード集合の合成は名前の責任を離れ委任したゾーンで行われているということです。この「不正」の合成は、基本DNSプロトコルの問題ではありませんが、DNSの許可モデルを肯定におけるDNSSECは、問題を公開しています。
Outright banning of wildcards of type NS is also untenable as the DNS protocol does not define how to handle "illegal" data. Implementations may choose not to load a zone, but there is no protocol definition. The lack of the definition is complicated by having to cover dynamic update [RFC2136] and zone transfers, as well as loading at the master server. The case of a client (resolver, caching server) getting a wildcard of type NS in a reply would also have to be considered.
アウトライトタイプNSのワイルドカードの禁止も「違法」のデータを処理する方法を定義していないDNSプロトコルとして支持できないです。実装は、ゾーンをロードしないことを選択するかもしれないが、何のプロトコル定義はありません。定義の欠如は、マスターサーバーに動的更新[RFC2136]とゾーン転送、ならびにローディングをカバーすることによって複雑になります。回答タイプNSのワイルドカードを取得し、クライアント(リゾルバ、キャッシュサーバ)の場合も考慮しなければならないでしょう。
Given the daunting challenge of a complete definition of how to ban such records, dealing with existing implementations that permit the records today is a further complication. There are uses of wildcard domain name owning NS RRSets.
そのような記録を禁止する方法の完全な定義の困難な課題を考えると、今日の記録を許可する既存の実装に対処することはさらに複雑です。 NS RRセットを所有しているワイルドカードドメイン名の使用があります。
One compromise proposed would have redefined wildcards of type NS to not be used in synthesis, this compromise fell apart because it would have required significant edits to the DNSSEC signing and validation work. (Again, DNSSEC catches unauthorized data.)
それはDNSSECの署名と検証作業に重要な編集を必要としたため、提案されている一つの妥協案は合成に使用されないようにタイプNSのワイルドカードを再定義しているだろう、この妥協はばらばらになりました。 (ここでも、DNSSECは、不正なデータを捕捉します。)
With no clear consensus forming on the solution to this dilemma, and the realization that wildcards of type NS are a rarity in operations, the best course of action is to leave this open-ended until "it matters".
明確なコンセンサスは、このジレンマを解決し、タイプNSのワイルドカードは、業務では珍しいです実現に形成しないで、最善の行動は、「それが大事」まで、このオープンエンドを残すことです。
The issue of a CNAME RRSet owned by a wildcard domain name has prompted a suggested change to the last paragraph of step 3c of the algorithm in 4.3.2. The changed text appears in section 3.3.3 of this document.
ワイルドカードドメイン名が所有するCNAME資源レコード集合の問題は、4.3.2におけるアルゴリズムのステップ3cの最後の段落に提案の変更を求めています。変更されたテキストは、このドキュメントのセクション3.3.3に表示されます。
Ownership of a DNAME [RFC2672] RRSet by a wildcard domain name represents a threat to the coherency of the DNS and is to be avoided or outright rejected. Such a DNAME RRSet represents non-deterministic synthesis of rules fed to different caches. As caches are fed the different rules (in an unpredictable manner) the caches will cease to be coherent. ("As caches are fed" refers to the storage in a cache of records obtained in responses by recursive or iterative servers.)
ワイルドカードドメイン名でRRセットDNAMEの所有権[RFC2672]はDNSの一貫性への脅威を表し、回避されるか、または完全に拒否されます。そのようなDNAME資源レコード集合は異なるキャッシュに供給されるルールの非決定論的合成を表します。キャッシュが(予測不可能なやり方で)異なるルールを供給されるようにキャッシュはコヒーレントであることを停止します。 (「キャッシュが供給されるように、」再帰または反復サーバによって応答で得られたレコードのキャッシュの記憶を指します。)
For example, assume one cache, responding to a recursive request, obtains the following record:
例えば、1キャッシュを想定して、再帰的な要求に応答し、次のレコードを取得します。
"a.b.example. DNAME foo.bar.example.net."
"a.b.example。DNAME foo.bar.example.net。"
and another cache obtains:
そして別のキャッシュを取得します。
"b.example. DNAME foo.bar.example.net."
"b.example。DNAME foo.bar.example.net。"
both generated from the record:
両方のレコードから生成されました:
"*.example. DNAME foo.bar.example.net."
"*。実施例。DNAMEのfoo.bar.example.net。"
by an authoritative server.
権威サーバによる。
The DNAME specification is not clear on whether DNAME records in a cache are used to rewrite queries. In some interpretations, the rewrite occurs; in others, it does not. Allowing for the occurrence of rewriting, queries for "sub.a.b.example. A" may be rewritten as "sub.foo.bar.tld. A" by the former caching server and may be rewritten as "sub.a.foo.bar.tld. A" by the latter. Coherency is lost, and an operational nightmare ensues.
DNAME仕様は、キャッシュ内のDNAMEレコードがクエリを書き換えるために使用されているかどうかについては明らかではありません。いくつかの解釈では、書き換えが発生します。他の人に、それはしていません。旧キャッシュサーバによって「sub.foo.bar.tld。A」のように書き換えることができる「sub.abexample」ため、クエリを書き換えるの発生を可能と「sub.a.foo.barように書き換えることができます後者によって.TLD。A」。コヒーレンシが失われ、運用悪夢が続きます。
Another justification for a recommendation to avoid the use of wildcard DNAME records is the observation that such a record could synthesize a DNAME owned by "sub.foo.bar.example." and "foo.bar.example.". There is a restriction in the DNAME definition that no domain exist below a DNAME-owning domain; hence, the wildcard DNAME is to be avoided.
ワイルドカードDNAMEレコードの使用を回避するための推奨事項についての別の正当化は、そのようなレコードがが所有DNAME合成することができることを観察である「sub.foo.bar.exampleを。」そして "foo.bar.example。"。何のドメインがDNAME、所有しているドメインの下に存在しないDNAME定義における制限があります。したがって、ワイルドカードDNAMEは避けるべきです。
The definition of the SRV RRset is RFC 2782 [RFC2782]. In the definition of the record, there is some confusion over the term "Name". The definition reads as follows:
SRV RRセットの定義は、RFC 2782 [RFC2782]です。レコードの定義では、用語「名前」の上にいくつかの混乱があります。次のように定義が読み取ります。
# The format of the SRV RR ... # _Service._Proto.Name TTL Class SRV Priority Weight Port Target ... # Name # The domain this RR refers to. The SRV RR is unique in that the # name one searches for is not this name; the example near the end # shows this clearly.
SRV RRの#形式...#_Service._Proto.Name TTLクラスSRV優先重ポートターゲット...#名前#このRRが参照するドメイン。この名前ではないためにSRV RRはその#名1件の検索でユニークです。エンド#近くの例では、これを明確に示しています。
Do not confuse the definition "Name" with the owner name. That is, once removing the _Service and _Proto labels from the owner name of the SRV RRSet, what remains could be a wildcard domain name but this is immaterial to the SRV RRSet.
所有者名と定義「名前」を混同しないでください。つまり、一度SRV資源レコード集合の所有者名から_Serviceと_protoラベルを削除し、ワイルドカードドメイン名である可能性が残っているが、何これはSRV資源レコード集合に重要ではありません。
For example, if an SRV record is the following:
例えば、SRVレコードは以下の通りである場合:
_foo._udp.*.example. 10800 IN SRV 0 1 9 old-slow-box.example.
_foo._udp。*。例。 SRV 0 1 9 10800古いスローbox.example。
*.example is a wildcard domain name and although it is the Name of the SRV RR, it is not the owner (domain name). The owner domain name is "_foo._udp.*.example.", which is not a wildcard domain name.
*。実施例では、ワイルドカードドメイン名であり、それはSRV RRの名前ですが、それは所有者(ドメイン名)ではありません。所有者のドメイン名が「_foo._udp。*。例。」で、ワイルドカードドメイン名ではありませんています。
A query for the SRV RRSet of "_foo._udp.bar.example." (class IN), will result in a match of the name "*.example." (assuming there is no bar.example.) and not a match of the SRV record shown. If there is no SRV RRSet at "*.example.", the answer section will reflect that (be empty or a CNAME RRset).
SRV資源レコード集合のクエリ「_foo._udp.bar.example。」 (クラスIN)、「*。実施例を。」名前の試合になります図示SRVレコードの一致(いいえbar.exampleが存在しないと仮定した場合)とではありません。何SRVの資源レコード集合がで存在しない場合は、「*。実施例。」、答え部(空またはCNAME RRセットも)それを反映します。
The confusion is likely based on the mixture of the specification of the SRV RR and the description of a "use case".
混乱は、おそらくSRV RRの仕様と「ユースケース」の説明の混合物に基づくものです。
A DS RRSet owned by a wildcard domain name is meaningless and harmless. This statement is made in the context that an NS RRSet at a wildcard domain name is undefined. At a non-delegation point, a DS RRSet has no value (no corresponding DNSKEY RRSet will be used in DNSSEC validation). If there is a synthesized DS RRSet, it alone will not be very useful as it exists in the context of a delegation point.
ワイルドカードドメイン名が所有DS資源レコード集合は無意味と無害です。このステートメントは、ワイルドカードドメイン名でのNS資源レコード集合が定義されていない状況で行われます。非委任点で、DS資源レコード集合は、(該当するDNSKEY資源レコード集合は、DNSSEC検証に使用されない)値を持ちません。合成されたDS資源レコード集合が存在する場合、それだけでは、それが委任ポイントのコンテキストに存在するように非常に有用ではないだろう。
Wildcard domain names in DNSSEC signed zones will have an NSEC RRSet. Synthesis of these records will only occur when the query exactly matches the record. Synthesized NSEC RRs will not be harmful as they will never be used in negative caching or to generate a negative response [RFC2308].
DNSSECでのワイルドカードドメイン名はゾーンがNSEC資源レコード集合を持つことになります署名しました。クエリが正確に記録と一致した場合にこれらのレコードの合成にのみ発生します。彼らはネガティブキャッシュで使用されることはありませんか否定応答[RFC2308]を生成するようにして合成NSEC RRは有害ではありません。
RRSIG records will be present at a wildcard domain name in a signed zone and will be synthesized along with data sought in a query. The fact that the owner name is synthesized is not a problem as the label count in the RRSIG will instruct the verifying code to ignore it.
RRSIGレコードは、署名されたゾーンでワイルドカードドメイン名で存在するであろうし、クエリに求められるデータと一緒に合成されます。所有者名が合成されているという事実は、それを無視する検証コードを指示しますRRSIGのラベル数として問題ではありません。
If a source of synthesis is an empty non-terminal, then the response will be one of no error in the return code and no RRSet in the answer section.
合成の供給源が空非端末である場合、応答は、リターンコードにエラーと応答区間でない資源レコード集合の一つであろう。
This document is refining the specifications to make it more likely that security can be added to DNS. No functional additions are being made, just refining what is considered proper to allow the DNS, security of the DNS, and extending the DNS to be more predictable.
この文書では、セキュリティがDNSに追加することができ、それは可能性を高めるために仕様を洗練されています。何の機能追加は単にDNS、DNSのセキュリティを可能にするために、適切と考えられるもの精錬、行われていないされており、DNSを拡張することは、より予測可能であることを。
[RFC20] Cerf, V., "ASCII format for network interchange", RFC 20, October 1969.
[RFC20]サーフ、V.、 "ネットワークの交換のためのASCIIフォーマット"、RFC 20、1969年10月。
[RFC1034] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[RFC1034] Mockapetris、P.、 "ドメイン名 - 概念と設備"、STD 13、RFC 1034、1987年11月。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[RFC1035] Mockapetris、P.、 "ドメイン名 - 実装及び仕様"、STD 13、RFC 1035、1987年11月。
[RFC1995] Ohta, M., "Incremental Zone Transfer in DNS", RFC 1995, August 1996.
[RFC1995]太田、M.、 "DNSにおける増分ゾーン転送"、RFC 1995、1996年8月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2308] Andrews, M., "Negative Caching of DNS Queries (DNS NCACHE)", RFC 2308, March 1998.
[RFC2308]アンドリュース、M.、 "DNSクエリのネガティブキャッシュ(DNS NCACHE)"、RFC 2308、1998年3月。
[RFC2672] Crawford, M., "Non-Terminal DNS Name Redirection", RFC 2672, August 1999.
[RFC2672]クロフォード、M.、 "非ターミナルDNS名リダイレクション"、RFC 2672、1999年8月。
[RFC2782] Gulbrandsen, A., Vixie, P., and L. Esibov, "A DNS RR for specifying the location of services (DNS SRV)", RFC 2782, February 2000.
[RFC2782] Gulbrandsenの、A.、いるVixie、P.、およびL. Esibov、 "サービスの場所を特定するためのDNS RR(DNSのSRV)"、RFC 2782、2000年2月。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[RFC4033]アレンズ、R.、Austeinと、R.、ラーソン、M.、マッシー、D.、およびS.ローズ、 "DNSセキュリティ序論と要件"、RFC 4033、2005年3月。
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[RFC4034]アレンズ、R.、Austeinと、R.、ラーソン、M.、マッシー、D.、およびS.ローズ、 "DNSセキュリティ拡張機能のためのリソースレコード"、RFC 4034、2005年3月。
[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[RFC4035]アレンズ、R.、Austeinと、R.、ラーソン、M.、マッシー、D.、およびS.ローズ、 "DNSセキュリティ拡張のためのプロトコル変更"、RFC 4035、2005年3月。
[RFC2136] Vixie, P., Thomson, S., Rekhter, Y., and J. Bound, "Dynamic Updates in the Domain Name System (DNS UPDATE)", RFC 2136, April 1997.
[RFC2136]いるVixie、P.、トムソン、S.、Rekhter、Y.、およびJ.バウンド、 "ドメインネームシステムにおける動的更新(DNS更新)"、RFC 2136、1997年4月。
This document represents the work of a large working group. The editor merely recorded its collective wisdom.
この文書では、大規模なワーキンググループの作業を表します。エディタは、単にその集団の知恵を記録しました。
Comments on this document can be sent to the editor or the mailing list for the DNSEXT WG, namedroppers@ops.ietf.org.
このドキュメントに関するコメントは、エディタやDNSEXT WG、namedroppers@ops.ietf.orgためのメーリングリストに送信することができます。
Editor's Address
編集者の住所
Edward Lewis NeuStar 46000 Center Oak Plaza Sterling, VA 20166, US
エドワード・ルイスNeuStar 46000センターオークプラザスターリング、VA 20166、米国
Phone: +1-571-434-5468 EMail: ed.lewis@neustar.biz
電話:+ 1-571-434-5468 Eメール:ed.lewis@neustar.biz
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
著作権(C)インターネット協会(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディタ機能のための資金は、IETF管理サポート活動(IASA)によって提供されます。