Network Working Group R. Arends
Request for Comments: 4956 Nominet
Category: Experimental M. Kosters
D. Blacka
VeriSign, Inc.
July 2007
DNS Security (DNSSEC) Opt-In
Status of This Memo
このメモのステータス
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのためにExperimentalプロトコルを定義します。それはどんな種類のインターネット標準を指定しません。改善のための議論や提案が要求されています。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
Abstract
抽象
In the DNS security (DNSSEC) extensions, delegations to unsigned subzones are cryptographically secured. Maintaining this cryptography is not always practical or necessary. This document describes an experimental "Opt-In" model that allows administrators to omit this cryptography and manage the cost of adopting DNSSEC with large zones.
DNSセキュリティ(DNSSEC)の拡張機能では、符号なしのサブゾーンへの代表団は、暗号で保護されています。この暗号を維持することは必ずしも実用的または必要はありません。この文書では、管理者は、この暗号を省略し、大規模なゾーンでDNSSECを導入するコストを管理することを可能にする実験的な「オプトイン」モデルを説明しています。
Table of Contents
目次
1. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Definitions and Terminology . . . . . . . . . . . . . . . . . 3
3. Experimental Status . . . . . . . . . . . . . . . . . . . . . 4
4. Protocol Additions . . . . . . . . . . . . . . . . . . . . . . 5
4.1. Server Considerations . . . . . . . . . . . . . . . . . . 6
4.1.1. Delegations Only . . . . . . . . . . . . . . . . . . . 6
4.1.2. Insecure Delegation Responses . . . . . . . . . . . . 6
4.1.3. Dynamic Update . . . . . . . . . . . . . . . . . . . . 6
4.2. Client Considerations . . . . . . . . . . . . . . . . . . 7
4.2.1. Delegations Only . . . . . . . . . . . . . . . . . . . 7
4.2.2. Validation Process Changes . . . . . . . . . . . . . . 7
4.2.3. NSEC Record Caching . . . . . . . . . . . . . . . . . 8
4.2.4. Use of the AD bit . . . . . . . . . . . . . . . . . . 8
5. Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6. Example . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
7. Transition Issues . . . . . . . . . . . . . . . . . . . . . . 11
8. Security Considerations . . . . . . . . . . . . . . . . . . . 11
9. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 13
10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 13
10.1. Normative References . . . . . . . . . . . . . . . . . . . 13
10.2. Informative References . . . . . . . . . . . . . . . . . . 13
Appendix A. Implementing Opt-In Using "Views" . . . . . . . . . . 15
The cost to cryptographically secure delegations to unsigned zones is high for large delegation-centric zones and zones where insecure delegations will be updated rapidly. For these zones, the costs of maintaining the NextSECure (NSEC) record chain may be extremely high relative to the gain of cryptographically authenticating existence of unsecured zones.
符号なしのゾーンに暗号化された安全な代表団の費用は、不安定な代表団が急速に更新されます大型代表団を中心としたゾーンとゾーンの高いです。これらのゾーンは、NextSECure(NSEC)レコード・チェーンを維持するためのコストは、暗号保護されていないゾーンの存在を認証の利得に対して非常に高いかもしれません。
This document describes an experimental method of eliminating the superfluous cryptography present in secure delegations to unsigned zones. Using "Opt-In", a zone administrator can choose to remove insecure delegations from the NSEC chain. This is accomplished by extending the semantics of the NSEC record by using a redundant bit in the type map.
この文書では、符号なしのゾーンへの安全な委任で余分な暗号存在を排除する実験方法を記載しています。 「オプトイン」を使用して、ゾーン管理者はNSECチェーンから不安定な代表団を削除するかを選択することができます。これは、型マップに冗長ビットを用いて、NSECレコードの意味論を拡張することによって達成されます。
Throughout this document, familiarity with the DNS system (RFC 1035 [1]), DNS security extensions ([4], [5], and [6], referred to in this document as "standard DNSSEC"), and DNSSEC terminology (RFC 3090 [10]) is assumed.
この文書を通して、DNSシステム(RFC 1035 [1])、DNSセキュリティ拡張([4]、[5]、及び[6]は、 "標準DNSSEC" として本書で呼ばれる)、およびDNSSECの用語に精通( RFC 3090 [10])が想定されます。
The following abbreviations and terms are used in this document:
次の略語および用語は、このドキュメントで使用されています。
RR: is used to refer to a DNS resource record.
RR:DNSリソースレコードを参照するために使用されます。
RRset: refers to a Resource Record Set, as defined by [8]. In this document, the RRset is also defined to include the covering RRSIG records, if any exist.
資源レコード集合は:[8]によって定義されるように、リソースレコードセットを指します。いずれかが存在する場合は、この文書では、資源レコード集合はまた、被覆RRSIGレコードを含むように定義されます。
signed name: refers to a DNS name that has, at minimum, a (signed) NSEC record.
署名された名前:NSECレコード(符号付き)、最低でも、有してDNS名を指します。
unsigned name: refers to a DNS name that does not (at least) have an NSEC record.
符号なしの名前は:(少なくとも)NSECレコードを持っていないDNS名を参照します。
covering NSEC record/RRset: is the NSEC record used to prove (non)existence of a particular name or RRset. This means that for a RRset or name 'N', the covering NSEC record has the name 'N', or has an owner name less than 'N' and "next" name greater than 'N'.
NSECレコード/ RRセットをカバーすることは:特定の名前またはRRセットの(非)存在を証明するために使用さNSECレコードです。これは、RRセットまたは名前は「N」、被覆NSECレコードは「N」名前を持つ、または「N」と「N」よりも大きい「次」の名前より所有者名以下であることを意味します。
delegation: refers to an NS RRset with a name different from the current zone apex (non-zone-apex), signifying a delegation to a subzone.
委任は:サブゾーンに委任を意味する、現在のゾーンの頂点(非ゾーン頂点)とは異なる名前のNS資源レコード集合を指します。
secure delegation: refers to a signed name containing a delegation (NS RRset), and a signed DS RRset, signifying a delegation to a signed subzone.
安全な委任は:(NS RRセット)委任を含む署名した名前を参照し、署名DS RRセット、署名サブゾーンに委任を意味します。
insecure delegation: refers to a signed name containing a delegation (NS RRset), but lacking a DS RRset, signifying a delegation to an unsigned subzone.
不安定な代表団は:(NS RRセット)代表団を含むが、DS RRセットを欠く、未署名のサブゾーンに委任を意味する署名した名前を指します。
Opt-In insecure delegation: refers to an unsigned name containing only a delegation NS RRset. The covering NSEC record uses the Opt-In methodology described in this document.
オプトイン不安定な代表団:のみ委任NS RRセットを含む符号なしの名前を指します。覆いNSECレコードは、この文書で説明するオプトインの方法論を使用しています。
The key words "MUST, "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY, and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [2].
キーワード "MUSTは、 ""、 "REQUIRED"、 ""、 "は、NOT SHALL"、 ""、 ""、 "この文書に記載されていると、 "任意の" ことになっているかもしれない"、" 推奨すべきでないものとしMUST NOT RFC 2119に記載されるように解釈[2]。
This document describes an EXPERIMENTAL extension to DNSSEC. It interoperates with non-experimental DNSSEC using the technique described in [7]. This experiment is identified with the following private algorithms (using algorithm 253):
この文書はDNSSECへの実験の拡張について説明します。これは、[7]に記載の技術を用いて、非実験DNSSECと相互運用します。この実験は、以下のプライベートのアルゴリズム(アルゴリズム253を使用して)で識別されます。
"3.optin.verisignlabs.com": is an alias for DNSSEC algorithm 3, DSA, and
"3.optin.verisignlabs.comは":DNSSECアルゴリズムの別名である3、DSA、および
"5.optin.verisignlabs.com": is an alias for DNSSEC algorithm 5, RSASHA1.
"5.optin.verisignlabs.com":DNSSECアルゴリズム5、RSASHA1の別名です。
Servers wishing to sign and serve zones that utilize Opt-In MUST sign the zone with only one or more of these private algorithms and MUST NOT use any other algorithms.
オプトインを利用ゾーンに署名し、奉仕を希望するサーバはこれらの民間のアルゴリズムの1つまたはそれ以上でゾーンに署名する必要がありますし、任意の他のアルゴリズムを使用してはなりません。
Resolvers MUST NOT apply the Opt-In validation rules described in this document unless a zone is signed using one or more of these private algorithms.
リゾルバはゾーンがこれらの民間のアルゴリズムの一つ以上を使用して署名されていない限り、このドキュメントで説明するオプトイン検証ルールを適用してはなりません。
This experimental protocol relaxes the restriction that validators MUST ignore the setting of the NSEC bit in the type map as specified in RFC 4035 [6] Section 5.4.
この実験プロトコルは、RFC 4035 [6]のセクション5.4で指定されるように型マップにNSECビットの設定を無視しなければなりませんバリ制限を緩和します。
The remainder of this document assumes that the servers and resolvers involved are aware of and are involved in this experiment.
このドキュメントの残りの部分は、サーバーや関係するリゾルバが知っていると、この実験に関与していることを前提としています。
In DNSSEC, delegation NS RRsets are not signed, but are instead accompanied by an NSEC RRset of the same name and (possibly) a DS record. The security status of the subzone is determined by the presence or absence of the DS RRset, cryptographically proven by the NSEC record. Opt-In expands this definition by allowing insecure delegations to exist within an otherwise signed zone without the corresponding NSEC record at the delegation's owner name. These insecure delegations are proven insecure by using a covering NSEC record.
DNSSECでは、委任NS RRセットが署名されていないが、代わりに同じ名前のNSEC RRセットと(おそらく)DSレコードを伴っています。サブゾーンのセキュリティステータスは、暗号NSECレコードによって証明DS RRセットの有無によって決定されます。オプトインは不安定な代表団は代表団の所有者名で対応するNSECレコードなしにそれ以外の場合は署名付きゾーン内に存在することを可能にすることによって、この定義を拡大します。これらの不安定な代表団をカバーするNSECレコードを使用することにより、安全でない証明されています。
Since this represents a change of the interpretation of NSEC records, resolvers must be able to distinguish between RFC standard DNSSEC NSEC records and Opt-In NSEC records. This is accomplished by "tagging" the NSEC records that cover (or potentially cover) insecure delegation nodes. This tag is indicated by the absence of the NSEC bit in the type map. Since the NSEC bit in the type map merely indicates the existence of the record itself, this bit is redundant and safe for use as a tag.
このNSECレコードの解釈の変化を表しているので、リゾルバはRFC標準DNSSEC NSECレコードを区別し、オプトインNSEC記録することができなければなりません。これは、カバー(または潜在的にカバー)NSECレコード不安定な代表団のノードを「タグ付け」することによって達成されます。このタグは、タイプマップのNSECビットが存在しないことによって示されます。型マップにNSECビットが単にレコード自体の存在を示しているので、このビットは冗長なタグとして使用するのに安全です。
An Opt-In tagged NSEC record does not assert the (non)existence of the delegations that it covers (except for a delegation with the same name). This allows for the addition or removal of these delegations without recalculating or resigning records in the NSEC chain. However, Opt-In tagged NSEC records do assert the (non)existence of other RRsets.
オプトインは、NSECレコードは、それが(同じ名前の委任を除く)をカバーすることを代表団の(非)存在を主張しませんタグ付けされています。これは、NSECチェーン内のレコードを再計算するか、辞職せずにこれらの代表団の追加や削除が可能になります。しかし、オプトインは、NSECレコードは、他のRRsetの(非)の存在を主張行うタグ付き。
An Opt-In NSEC record MAY have the same name as an insecure delegation. In this case, the delegation is proven insecure by the lack of a DS bit in the type map, and the signed NSEC record does assert the existence of the delegation.
オプトインNSECレコードは不安定な代表団と同じ名前を持っているかもしれません。この場合、委任が型マップにDSビットの欠如によって安全でない証明、および署名NSECレコードは、代表団の存在を主張しています。
Zones using Opt-In MAY contain a mixture of Opt-In tagged NSEC records and standard DNSSEC NSEC records. If an NSEC record is not Opt-In, there MUST NOT be any insecure delegations (or any other records) between it and the RRsets indicated by the 'next domain name' in the NSEC RDATA. If it is Opt-In, there MUST only be insecure delegations between it and the next node indicated by the 'next domain name' in the NSEC RDATA.
オプトインの混合物を含有することができるオプトインを使用してゾーンはNSECレコードと標準DNSSEC NSECレコードをタグ付け。 NSECレコードがオプトインされていない場合は、それとNSEC RDATAの「次のドメイン名」で示さRRセットの間のいずれかの不安定な代表団(または任意の他のレコード)があってはなりません。それはオプトインである場合、それだけとNSEC RDATAの「次のドメイン名」で示される次のノードの間にセキュアでない委任がなければなりません。
In summary,
要約すれば、
o An Opt-In NSEC type is identified by a zero-valued (or not-specified) NSEC bit in the type bit map of the NSEC record.
OオプトインNSECタイプはNSECレコードのタイプビットマップにおけるゼロ値(または、指定されていない)NSECビットによって識別されます。
o A standard DNSSEC NSEC type is identified by a one-valued NSEC bit in the type bit map of the NSEC record.
O標準DNSSEC NSECタイプはNSECレコードの種類のビットマップ内の1つの値NSECビットによって識別されます。
and
そして
o An Opt-In NSEC record does not assert the non-existence of a name between its owner name and "next" name, although it does assert that any name in this span MUST be an insecure delegation.
それは、このスパンのいずれかの名前が不安定な代表団でなければならないことを主張しないが、OオプトインNSECレコードは、その所有者名と「次」の名の間の名前の非存在を主張しません。
o An Opt-In NSEC record does assert the (non)existence of RRsets with the same owner name.
OオプトインNSECレコードは、同じ所有者名のRRセットの(非)の存在を主張しません。
Opt-In imposes some new requirements on authoritative DNS servers.
オプトインは、権威DNSサーバー上のいくつかの新しい要件を課しています。
This specification dictates that only insecure delegations may exist between the owner and "next" names of an Opt-In tagged NSEC record. Signing tools MUST NOT generate signed zones that violate this restriction. Servers MUST refuse to load and/or serve zones that violate this restriction. Servers also MUST reject AXFR or IXFR responses that violate this restriction.
この仕様は、安全でない委任が所有者とオプトインの「次」の名前NSECレコードをタグ付けの間に存在し得ることを指示します。署名ツールは、この制限に違反したゾーンに署名した生成してはなりません。サーバはロードおよび/またはこの制限に違反するゾーンにサービスを提供することを拒否しなければなりません。サーバはまた、この制限に違反しAXFRかIXFR回答を拒絶しなければなりません。
When returning an Opt-In insecure delegation, the server MUST return the covering NSEC RRset in the Authority section.
オプトイン不安定な代表団を返すとき、サーバーは、権限のセクションで覆いNSEC RRセットを返さなければなりません。
In standard DNSSEC, NSEC records already must be returned along with the insecure delegation. The primary difference that this proposal introduces is that the Opt-In tagged NSEC record will have a different owner name from the delegation RRset. This may require implementations to search for the covering NSEC RRset.
標準のDNSSECでは、NSECレコードは、すでに不安定な代表団と一緒に返送しなければなりません。この提案が紹介主な違いは、オプトインがNSECレコードは、委任RRセットから別の所有者名を持つことになりますタグ付きということです。これは覆いNSEC RRセットを検索するための実装が必要な場合があります。
Opt-In changes the semantics of Secure DNS Dynamic Update [9]. In particular, it introduces the need for rules that describe when to add or remove a delegation name from the NSEC chain. This document does not attempt to define these rules. Until these rules are defined, servers MUST NOT process DNS Dynamic Update requests against zones that use Opt-In NSEC records. Servers SHOULD return responses to update requests with RCODE=REFUSED.
オプトインは、セキュアDNS動的更新のセマンティクスを変更する[9]。特に、NSECチェーンから委任名を追加または削除する際に説明したルールの必要性を紹介します。この文書では、これらのルールを定義しようとしません。これらのルールが定義されるまで、サーバーは、オプトインNSECレコードを使用したゾーンに対してDNS動的更新要求を処理してはいけません。サーバーがRCODEとのリクエストを更新するためにレスポンスを返すべき=拒否しました。
Opt-In imposes some new requirements on security-aware resolvers (caching or otherwise).
オプトインは、セキュリティ対応リゾルバ(キャッシュまたはその他)にいくつかの新しい要件を課しています。
As stated in Section 4.1 above, this specification restricts the namespace covered by Opt-In tagged NSEC records to insecure delegations only. Clients are not expected to take any special measures to enforce this restriction; instead, it forms an underlying assumption that clients may rely on.
上記の4.1節で述べたように、この仕様は、オプトインによってカバーされた名前空間だけ不安定な代表団にNSECレコードをタグ付け制限されます。クライアントは、この制限を強制するために特別な措置をとることが予想されていません。その代わり、それは、クライアントがに依拠することができる基本的な前提を形成しています。
This specification does not change the resolver's resolution algorithm. However, it does change the DNSSEC validation process.
この仕様は、リゾルバの解決アルゴリズムを変更しません。しかし、それはDNSSEC検証プロセスを変更しません。
Resolvers MUST be able to use Opt-In tagged NSEC records to cryptographically prove the validity and security status (as insecure) of a referral. Resolvers determine the security status of the referred-to zone as follows:
リゾルバは、暗号紹介の有効性と(安全でないなど)のセキュリティステータスを証明するためにオプトインは、NSECレコードをタグ付けに使用できなければなりません。リゾルバは言及-にゾーン次のようにのセキュリティ状態を決定します。
o In standard DNSSEC, the security status is proven by the existence or absence of a DS RRset at the same name as the delegation. The existence of the DS RRset indicates that the referred-to zone is signed. The absence of the DS RRset is proven using a verified NSEC record of the same name that does not have the DS bit set in the type map. This NSEC record MAY also be tagged as Opt-In.
O標準DNSSECでは、セキュリティステータスは、代表団と同じ名前でDS RRセットの有無によって証明されています。 DS資源レコード集合の存在は呼ば-にゾーンが署名されていることを示しています。 DS RRセットが存在しない場合は、DSが型マップにビットが設定されていない同じ名前の検証NSECレコードを使用して証明されています。このNSECレコードはまた、オプトインとしてタグ付けすることができます。
o Using Opt-In, the security status is proven by the existence of a DS record (for signed) or the presence of a verified Opt-In tagged NSEC record that covers the delegation name. That is, the NSEC record does not have the NSEC bit set in the type map, and the delegation name falls between the NSEC's owner and "next" name.
オプトインを使用してO、セキュリティステータスがDSレコードの存在によって証明(署名用)または検証オプトインの存在は代表団名をカバーNSECレコードをタグ付けされています。これは、NSECレコードは、NSECは、型マップにビットセット、および代表団名はNSECの所有者と「次」の名前の間に入る必要はありません、です。
Using Opt-In does not substantially change the nature of following referrals within DNSSEC. At every delegation point, the resolver will have cryptographic proof that the referred-to subzone is signed or unsigned.
オプトインを使用すると、実質的にDNSSEC内で紹介し、次の性質を変更しません。すべての委任点で、リゾルバは呼ば-にサブゾーンは、符号付きまたは符号なしていることを、暗号化証明を持っています。
Since queries for DS records are directed to the parent side of a zone cut (see [5], Section 5), negative responses to these queries may be covered by an Opt-In flagged NSEC record.
DSレコードのクエリが([5]、セクション5を参照)、ゾーンカットの親側に向けられているので、これらのクエリに対する否定応答がオプトインによって覆われていてもよいNSECレコードのフラグを立て。
Resolvers MUST be able to use Opt-In tagged NSEC records to cryptographically prove the validity and security status of negative responses to queries for DS records. In particular, a NOERROR/NODATA (i.e., RCODE=3, but the answer section is empty) response to a DS query may be proven by an Opt-In flagged covering NSEC record, rather than an NSEC record matching the query name.
リゾルバは、オプトインを使用することができなければならないDSレコードのクエリへの否定応答の有効性と安全状況を証明する暗号的にNSECレコードをタグ付け。具体的には、NOERROR / NODATA(すなわち、RCODE = 3が、回答部が空である)DSクエリに対する応答は、オプトインすることによって証明することができるNSECレコードはなく、クエリ名と一致NSECレコードをカバーフラグを立て。
Caching resolvers MUST be able to retrieve the appropriate covering Opt-In NSEC record when returning referrals that need them. This requirement differs from standard DNSSEC in that the covering NSEC will not have the same owner name as the delegation. Some implementations may have to use new methods for finding these NSEC records.
キャッシュリゾルバは、それらを必要とする照会を返すときに、適切な被覆オプトインNSECレコードを取得することができなければなりません。この要件は、委任と同じ所有者名を持っていないことをカバーするNSECで標準DNSSECとは異なります。一部の実装では、これらのNSECレコードを検索するための新しい方法を使用する必要があります。
The AD bit, as defined by [3] and [6], MUST NOT be set when:
ADのビットによって定義される[3]及び[6]時に設定してはいけません。
o sending a Name Error (RCODE=3) response where the covering NSEC is tagged as Opt-In.
被覆NSECをオプトインとしてタグ付けされた名前エラー(RCODE = 3)の応答を送信し、O。
o sending an Opt-In insecure delegation response, unless the covering (Opt-In) NSEC record's owner name equals the delegation name.
カバーがない限り、オプトイン不安定な代表団応答を送信するO(オプトイン)NSECレコードの所有者名が代表団名に等しいです。
o sending a NOERROR/NODATA response when query type is DS and the covering NSEC is tagged as Opt-In, unless NSEC record's owner name matches the query name.
NSECレコードの所有者名は、クエリ名と一致しない限り、クエリのタイプはDSと覆いNSECは、オプトインとしてタグ付けされたときNOERROR / NODATA応答を送信するO。
This rule is based on what the Opt-In NSEC record actually proves: for names that exist between the Opt-In NSEC record's owner and "next" names, the Opt-In NSEC record cannot prove the non-existence or existence of the name. As such, not all data in the response has been cryptographically verified, so the AD bit cannot be set.
このルールは、オプトインNSECレコードが実際に証明しているものに基づいている:オプトインNSECレコードの所有者と「次」の名の間に存在する名前について、オプトインNSECレコードは、名前の非存在または存在を証明することはできません。このように、応答のすべてのデータは暗号的に検証されていないので、ADビットを設定することができません。
Using Opt-In allows administrators of large and/or changing delegation-centric zones to minimize the overhead involved in maintaining the security of the zone.
オプトインを使用して大型および/または変化委任中心ゾーンの管理者がゾーンのセキュリティの維持に伴うオーバーヘッドを最小化することを可能にします。
Opt-In accomplishes this by eliminating the need for NSEC records for insecure delegations. This, in a zone with a large number of delegations to unsigned subzones, can lead to substantial space savings (both in memory and on disk). Additionally, Opt-In allows for the addition or removal of insecure delegations without modifying the NSEC record chain. Zones that are frequently updating insecure delegations (e.g., Top-Level Domains (TLDs)) can avoid the substantial overhead of modifying and resigning the affected NSEC records.
オプトインは、不安定な代表団のためのNSECレコードの必要性を排除することによって、これを達成します。これは、符号なしのサブゾーンへの代表団の数が多いゾーンでは、(メモリ内とディスク上の両方)かなりのスペースの節約につながることができます。また、オプトインは、NSECレコードチェーンを変更することなく、安全でない委任の追加または除去を可能にします。頻繁に不安定な代表団を更新しているゾーン(例えば、トップレベルドメイン(TLDが))を変更すると、影響を受けたNSECレコードを辞任の実質的なオーバーヘッドを回避することができます。
Consider the zone EXAMPLE shown below. This is a zone where all of the NSEC records are tagged as Opt-In.
次に示すゾーンの例を考えてみましょう。これは、NSECレコードの全てがオプトインとしてタグ付けされている領域です。
Example A: Fully Opt-In Zone.
例A:完全にオプトインゾーン。
EXAMPLE. SOA ...
EXAMPLE. RRSIG SOA ...
EXAMPLE. NS FIRST-SECURE.EXAMPLE.
EXAMPLE. RRSIG NS ...
EXAMPLE. DNSKEY ...
EXAMPLE. RRSIG DNSKEY ...
EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. (
SOA NS RRSIG DNSKEY )
EXAMPLE. RRSIG NSEC ...
FIRST-SECURE.EXAMPLE. A ... FIRST-SECURE.EXAMPLE. RRSIG A ... FIRST-SECURE.EXAMPLE. NSEC NOT-SECURE-2.EXAMPLE. A RRSIG FIRST-SECURE.EXAMPLE. RRSIG NSEC ...
FIRST-SECURE.EXAMPLE。 ... FIRST-SECURE.EXAMPLE。 RRSIG A ... FIRST-SECURE.EXAMPLE。 NSEC-SECURE NOT-2.EXAMPLE。 RRSIG FIRST-SECURE.EXAMPLE。 RRSIG NSEC ...
NOT-SECURE.EXAMPLE. NS NS.NOT-SECURE.EXAMPLE. NS.NOT-SECURE.EXAMPLE. A ...
NOT-SECURE.EXAMPLE。 NS-NS.NOT SECURE.EXAMPLE。 NS.NOT-SECURE.EXAMPLE。 ...
NOT-SECURE-2.EXAMPLE. NS NS.NOT-SECURE.EXAMPLE. NOT-SECURE-2.EXAMPLE NSEC SECOND-SECURE.EXAMPLE NS RRSIG NOT-SECURE-2.EXAMPLE RRSIG NSEC ...
-SECURE NOT-2.EXAMPLE。 NS-NS.NOT SECURE.EXAMPLE。 -SECURE NOT-2.EXAMPLE NSEC SECOND-SECURE.EXAMPLE NS RRSIG NOT-SECURE-2.EXAMPLE RRSIG NSEC ...
SECOND-SECURE.EXAMPLE. NS NS.ELSEWHERE. SECOND-SECURE.EXAMPLE. DS ... SECOND-SECURE.EXAMPLE. RRSIG DS ... SECOND-SECURE.EXAMPLE. NSEC EXAMPLE. NS RRSIG DNSKEY SECOND-SECURE.EXAMPLE. RRSIG NSEC ...
SECOND-SECURE.EXAMPLE。 NS NS.ELSEWHERE。 SECOND-SECURE.EXAMPLE。 DS ... SECOND-SECURE.EXAMPLE。 RRSIG DS ... SECOND-SECURE.EXAMPLE。 NSEC例。 NS RRSIG DNSKEY SECOND-SECURE.EXAMPLE。 RRSIG NSEC ...
UNSIGNED.EXAMPLE. NS NS.UNSIGNED.EXAMPLE. NS.UNSIGNED.EXAMPLE. A ...
UNSIGNED.EXAMPLE。 NS NS.UNSIGNED.EXAMPLE。 NS.UNSIGNED.EXAMPLE。 ...
Example A.
例A.
In this example, a query for a signed RRset (e.g., "FIRST-SECURE.EXAMPLE A") or a secure delegation ("WWW.SECOND-SECURE.EXAMPLE A") will result in a standard DNSSEC response.
この例では、署名されたRRセットのクエリ(例えば、 "第一SECURE.EXAMPLE A")またはセキュア委任( "WWW.SECOND-SECURE.EXAMPLE A")は標準DNSSEC応答をもたらすであろう。
A query for a nonexistent RRset will result in a response that differs from standard DNSSEC by the following: the NSEC record will be tagged as Opt-In, there may be no NSEC record proving the non-existence of a matching wildcard record, and the AD bit will not be set.
NSECレコードが一致するワイルドカードレコードの非存在を証明なしNSECレコードが存在しないことがあり、オプトインとしてタグ付け、そしてする:存在しないRRセットのクエリは、以下によって標準DNSSECは異なる応答をもたらすであろうADビットはセットされません。
A query for an insecure delegation RRset (or a referral) will return both the answer (in the Authority section) and the corresponding Opt-In NSEC record to prove that it is not secure.
不安定な代表団RRセット(または照会)のためのクエリは、(権限のセクションで)答え、それは安全ではないことを証明するために、対応するオプトインNSECレコードの両方が返されます。
Example A.1: Response to query for WWW.UNSIGNED.EXAMPLE. A
例A.1:WWW.UNSIGNED.EXAMPLEのためにクエリに対する応答。 A
RCODE=NOERROR, AD=0
RCODE = NOERROR、AD = 0
Answer Section:
回答セクション:
Authority Section: UNSIGNED.EXAMPLE. NS NS.UNSIGNED.EXAMPLE SECOND-SECURE.EXAMPLE. NSEC EXAMPLE. NS RRSIG DS SECOND-SECURE.EXAMPLE. RRSIG NSEC ...
機関セクション:UNSIGNED.EXAMPLE。 NS NS.UNSIGNED.EXAMPLE SECOND-SECURE.EXAMPLE。 NSEC例。 NS RRSIG DS SECOND-SECURE.EXAMPLE。 RRSIG NSEC ...
Additional Section: NS.UNSIGNED.EXAMPLE. A ...
追加セクション:NS.UNSIGNED.EXAMPLE。 ...
Example A.1
例A.1
In the Example A.1 zone, the EXAMPLE. node MAY use either style of NSEC record, because there are no insecure delegations that occur between it and the next node, FIRST-SECURE.EXAMPLE. In other words, Example A would still be a valid zone if the NSEC record for EXAMPLE. was changed to the following RR:
例A.1ゾーンにおいて、実施例。これと次のノード、FIRST-SECURE.EXAMPLEの間で発生するいかなる不安定な代表団が存在しないので、ノードは、NSECレコードのどちらのスタイルを使用するかもしれません。言い換えれば、例Aはまだ例えばNSECレコードであれば、有効なゾーンになります。以下のRRに変更されました:
EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. (SOA NS
RRSIG DNSKEY NSEC )
However, the other NSEC records (FIRST-SECURE.EXAMPLE. and SECOND-SECURE.EXAMPLE.) MUST be tagged as Opt-In because there are insecure delegations in the range they define. (NOT-SECURE.EXAMPLE. and UNSIGNED.EXAMPLE., respectively).
安全でない委任は、それらが定義する範囲内に存在するためしかし、他のNSECレコード(FIRST-SECURE.EXAMPLE。と第2 SECURE.EXAMPLE。)オプトインとしてタグ付けされなければなりません。 (NOT-SECURE.EXAMPLE。及びUNSIGNED.EXAMPLE。、それぞれ)。
NOT-SECURE-2.EXAMPLE. is an example of an insecure delegation that is part of the NSEC chain and also covered by an Opt-In tagged NSEC record. Because NOT-SECURE-2.EXAMPLE. is a signed name, it cannot be removed from the zone without modifying and resigning the prior NSEC record. Delegations with names that fall between NOT-SECURE-2.EXAMPLE. and SECOND-SECURE.EXAMPLE. may be added or removed without resigning any NSEC records.
-SECURE NOT-2.EXAMPLE。 NSEC鎖の一部であり、また、オプトインはNSECレコードをタグ付けによって覆われ、安全でない委任の一例です。 -SECURE NOT-2.EXAMPLEので。署名された名前であり、それは前NSECレコードを変更し、再署名なしゾーンから除去することができません。 NOT-SECURE-2.EXAMPLEの間にある名前の代表団。そして、SECOND-SECURE.EXAMPLE。任意NSECレコードを再署名することなく、追加または削除されてもよいです。
Opt-In is not backwards compatible with standard DNSSEC and is considered experimental. Standard DNSSEC-compliant implementations would not recognize Opt-In tagged NSEC records as different from standard NSEC records. Because of this, standard DNSSEC implementations, if they were to validate Opt-In style responses, would reject all Opt-In insecure delegations within a zone as invalid. However, by only signing with private algorithms, standard DNSSEC implementations will treat Opt-In responses as unsigned.
オプトインは標準DNSSECとの下位互換性がありませんし、実験的なものと考えています。標準DNSSEC準拠の実装は、OPT-Inは標準NSECレコードとは異なるようにNSECレコードをタグ付けを認識しないであろう。彼らはオプトイン形式の応答を検証した場合このため、標準のDNSSEC実装の、すべてのオプトイン無効として、ゾーン内の不安定な代表団を拒否します。しかし、唯一の民間のアルゴリズムで署名することにより、標準のDNSSECの実装は、符号なしとしてオプトイン応答を扱います。
It should be noted that all elements in the resolution path between (and including) the validator and the authoritative name server must be aware of the Opt-In experiment and implement the Opt-In semantics for successful validation to be possible. In particular, this includes any caching middleboxes between the validator and authoritative name server.
バリや権威ネームサーバとの間の(および含む)解像度のパス内のすべての要素がオプトイン実験を認識し、オプトイン成功した検証のためのセマンティクスを可能にするに実装しなければならないことに留意すべきです。特に、これは、バリや権威ネームサーバとの間のいずれかのキャッシュミドルボックスが含まれています。
Opt-In allows for unsigned names, in the form of delegations to unsigned subzones, to exist within an otherwise signed zone. All unsigned names are, by definition, insecure, and their validity or existence cannot be cryptographically proven.
オプトインは、そうでなければ署名されたゾーン内に存在する、符号なしのサブゾーンに委任の形で、符号なしの名前を可能にします。すべての符号なしの名前は、定義により、安全でない、とその妥当性や存在は、暗号証明することはできませんされています。
In general:
一般に:
o Records with unsigned names (whether or not existing) suffer from the same vulnerabilities as records in an unsigned zone. These vulnerabilities are described in more detail in [12] (note in particular Sections 2.3, "Name Games" and 2.6, "Authenticated Denial").
未署名の名前を持つOレコードは(かどうか、既存の)符号なしのゾーン内のレコードと同じ脆弱性に苦しみます。これらの脆弱性は、(特定のセクション2.3、「名前ゲーム」および2.6、「認証拒否」に注)[12]に詳細に記載されています。
o Records with signed names have the same security whether or not Opt-In is used.
署名した名前を持つOレコードはオプトインが使用されているか否かに関係なく、同じセキュリティを持っています。
Note that with or without Opt-In, an insecure delegation may have its contents undetectably altered by an attacker. Because of this, the primary difference in security that Opt-In introduces is the loss of the ability to prove the existence or nonexistence of an insecure delegation within the span of an Opt-In NSEC record.
またはオプトインすることなく、安全でない委任は、その内容が検出不可能攻撃者によって変更されていてもよいことに留意されたいです。このため、オプトインを導入し、セキュリティの主な違いは、オプトインNSECレコードのスパン内不安定な代表団の有無を証明する能力の喪失です。
In particular, this means that a malicious entity may be able to insert or delete records with unsigned names. These records are normally NS records, but this also includes signed wildcard expansions (while the wildcard record itself is signed, its expanded name is an unsigned name), which can be undetectably removed or used to replace an existing unsigned delegation.
特に、これは、悪意のあるエンティティは、符号なしの名前でレコードを挿入または削除することがあり得ることを意味しています。これらのレコードは、通常、NSレコードですが、これはまた、検出不可能に削除するか、または既存の符号なしの委任を置き換えるために使用することができる、(ワイルドカードレコード自体が署名されている間、その拡張名は符号なしの名前です)に署名し、ワイルドカードの展開が含まれています。
For example, if a resolver received the following response from the example zone above:
例えば、リゾルバは、上記の例のゾーンから次の応答を受信した場合:
Example S.1: Response to query for WWW.DOES-NOT-EXIST.EXAMPLE. A
例S.1:WWW.DOES-NOT-EXIST.EXAMPLEのためにクエリに対する応答。 A
RCODE=NOERROR
RCODE = NOERROR
Answer Section:
回答セクション:
Authority Section: DOES-NOT-EXIST.EXAMPLE. NS NS.FORGED. EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. SOA NS \ RRSIG DNSKEY EXAMPLE. RRSIG NSEC ...
機関セクション:DOES-NOT-EXIST.EXAMPLE。 NS NS.FORGED。例。 NSEC FIRST-SECURE.EXAMPLE。 SOA NS \ RRSIG DNSKEY例。 RRSIG NSEC ...
Additional Section:
追加セクション:
Attacker has forged a name
攻撃者が名前を偽造しています
The resolver would have no choice but to believe that the referral to NS.FORGED. is valid. If a wildcard existed that would have been expanded to cover "WWW.DOES-NOT-EXIST.EXAMPLE.", an attacker could have undetectably removed it and replaced it with the forged delegation.
リゾルバはNS.FORGEDへの紹介と信じざるを得ないでしょう。有効です。ワイルドカードは、それをカバーするために拡張されていたであろう存在していた場合は、「WWW.DOES-NOT-EXIST.EXAMPLE」を、攻撃者は検出できない、それを削除し、偽造委任でそれを置き換えることができました。
Note that being able to add a delegation is functionally equivalent to being able to add any record type: an attacker merely has to forge a delegation to the nameserver under his/her control and place whatever records are needed at the subzone apex.
攻撃者は、単にレコードがサブゾーンの頂点に必要とされているものは何でも、彼/彼女の制御と場所の下にネームサーバへの委任を偽造することがあります。委任を追加することができるということは任意のレコードタイプを追加することができることと機能的に同等であることに注意してください。
While in particular cases, this issue may not present a significant security problem, in general it should not be lightly dismissed. Therefore, it is strongly RECOMMENDED that Opt-In be used sparingly. In particular, zone signing tools SHOULD NOT default to Opt-In, and MAY choose not to support Opt-In at all.
特定の場合には、この問題は重大なセキュリティ上の問題を提示しないかもしれないが、一般的には、軽く却下すべきではありません。したがって、強くオプトインは慎重に使用することが推奨されます。具体的には、ゾーン署名ツールは、オプトインをするデフォルトではないはずであり、すべてでオプトインをサポートしないこともできます。
The contributions, suggestions, and remarks of the following persons (in alphabetic order) to this document are acknowledged:
このドキュメントに(アルファベット順)次の者の貢献、提案、発言を認めています。
Mats Kolkman, Edward Lewis, Ted Lindgreen, Rip Loomis, Bill Manning, Dan Massey, Scott Rose, Mike Schiraldi, Jakob Schlyter, Brian Wellington.
マットKolkman、エドワード・ルイス、テッドLindgreen、リップルーミス、ビル・マニング、ダン・マッセイ、スコット・ローズ、マイク・Schiraldi、ヤコブSchlyter、ブライアンウェリントン。
[1] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[1] Mockapetris、P.、 "ドメイン名 - 実装及び仕様"、STD 13、RFC 1035、1987年11月。
[2] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[2]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
[3] Wellington, B. and O. Gudmundsson, "Redefinition of DNS Authenticated Data (AD) bit", RFC 3655, November 2003.
[3]ウェリントン、B.およびO.グドムンソン、RFC 3655、2003年11月 "DNS認証されたデータ(AD)ビットの再定義"。
[4] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[4]アレンズ、R.、Austeinと、R.、ラーソン、M.、マッシー、D.、およびS.ローズ、 "DNSセキュリティ序論と要件"、RFC 4033、2005年3月。
[5] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[5]アレンズ、R.、Austeinと、R.、ラーソン、M.、マッシー、D.、およびS.ローズ、 "DNSセキュリティ拡張のためのリソースレコード"、RFC 4034、2005年3月。
[6] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[6]アレンズ、R.、Austeinと、R.、ラーソン、M.、マッシー、D.、およびS.ローズ、 "DNSセキュリティ拡張のためのプロトコル変更"、RFC 4035、2005年3月。
[7] Blacka, D., "DNSSEC Experiments", RFC 4955, July 2007.
[7] Blacka、D.、 "DNSSEC実験"、RFC 4955、2007年7月。
[8] Elz, R. and R. Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997.
[8]エルツ、R.とR.ブッシュ大統領、 "DNS仕様の明確化"、RFC 2181、1997年7月。
[9] Wellington, B., "Secure Domain Name System (DNS) Dynamic Update", RFC 3007, November 2000.
[9]ウェリントン、B.、RFC 3007、2000年11月 "ドメインネームシステム(DNS)動的更新をセキュア"。
[10] Lewis, E., "DNS Security Extension Clarification on Zone Status", RFC 3090, March 2001.
[10]ルイス、E.、RFC 3090 "ゾーンのステータスのDNSセキュリティ拡張の明確化"、2001年3月。
[11] Conrad, D., "Indicating Resolver Support of DNSSEC", RFC 3225, December 2001.
[11]コンラッド、D.、RFC 3225 "DNSSECのレゾルバサポートを示す"、2001年12月。
[12] Atkins, D. and R. Austein, "Threat Analysis of the Domain Name System (DNS)", RFC 3833, August 2004.
[12]アトキンス、D.とR. Austeinと、RFC 3833 "ドメインネームシステム(DNS)の脅威分析"、2004年8月。
Appendix A. Implementing Opt-In Using "Views"
付録A.「ビュー」を使用してオプトインの実装
In many cases, it may be convenient to implement an Opt-In zone by combining two separately maintained "views" of a zone at request time. In this context, "view" refers to a particular version of a zone, not to any specific DNS implementation feature.
多くの場合、要求時にゾーン二別々に維持され、「ビュー」を組み合わせることにより、オプトインゾーンを実装するために便利です。この文脈において、「ビュー」は、ゾーンの特定のバージョンにはなく、任意の特定のDNS実装の特徴を指します。
In this scenario, one view is the secure view, the other is the insecure (or legacy) view. The secure view consists of an entirely signed zone using Opt-In tagged NSEC records. The insecure view contains no DNSSEC information. It is helpful, although not necessary, for the secure view to be a subset (minus DNSSEC records) of the insecure view.
このシナリオでは、一つのビューは、他の安全でない(またはレガシー)図であり、安全な図です。セキュアビューは、オプトインを使用して完全に署名されたゾーンは、NSECレコードをタグ付けから成ります。安全でないビューにはDNSSECの情報が含まれていません。必要ではないが、安全なビューが不安定なビューのサブセット(マイナスDNSSECレコード)であることが、有用です。
In addition, the only RRsets that may solely exist in the insecure view are non-zone-apex NS RRsets. That is, all non-NS RRsets (and the zone apex NS RRset) MUST be signed and in the secure view.
また、単に安全でないビューに存在し得るのみ資源レコード集合は、非ゾーン頂点のNS資源レコード集合です。すなわち、すべての非NS資源レコード集合(ゾーン頂点NS RRセット)が署名され、安全なビュー内にある必要があり、です。
These two views may be combined at request time to provide a virtual, single Opt-In zone. The following algorithm is used when responding to each query:
これら二つのビューは、仮想、単一オプトインゾーンを提供するために、要求時に組み合わせることができます。各クエリに応答するときに、以下のアルゴリズムが使用されます。
V_A is the secure view as described above.
V_Aは、上述したように、安全な図です。
V_B is the insecure view as described above.
V_Bは、上述のように安全ではない図です。
R_A is a response generated from V_A, following standard DNSSEC.
R_Aは標準DNSSEC以下V_Aから生成された応答です。
R_B is a response generated from V_B, following DNS resolution as per RFC 1035 [1].
R_Bは、RFC 1035あたりとしてDNS解決以下V_Bから生成された応答である[1]。
R_C is the response generated by combining R_A with R_B, as described below.
R_Cは、以下に説明するように、R_BとR_Aを組み合わせることによって生成された応答です。
A query is DNSSEC-aware if it either has the DO bit [11] turned on or is for a DNSSEC-specific record type.
それはDOビットを有するいずれかの場合、クエリは、DNSSEC対応である[11]オンまたはDNSSEC固有のレコード・タイプのためのものです。
1. If V_A is a subset of V_B and the query is not DNSSEC-aware, generate and return R_B, otherwise
それ以外の場合は1 V_AがV_Bのサブセットであり、クエリがDNSSEC対応でない場合は、R_Bを生成して返します、
For each section (ANSWER, AUTHORITY, ADDITIONAL), copy the
records from R_A into R_B, EXCEPT the AUTHORITY section SOA
record, if R_B's RCODE = NOERROR.
Authors' Addresses
著者のアドレス
Roy Arends Nominet Sandford Gate Sandy Lane West Oxford OX4 6LB UNITED KINGDOM
ロイ・アレンズNominetサンドフォード門サンディレイン西オックスフォードOX4 6LB UNITED KINGDOM
Phone: +44 1865 332211 EMail: roy@nominet.org.uk
電話:+44 1865 332211 Eメール:roy@nominet.org.uk
Mark Kosters VeriSign, Inc. 21355 Ridgetop Circle Dulles, VA 20166 US
マーク・Kostersベリサイン社21355 Ridgetopサークルダレス、VA 20166米国
Phone: +1 703 948 3200 EMail: mkosters@verisign.com URI: http://www.verisignlabs.com
電話:+1 703 948 3200 Eメール:mkosters@verisign.com URI:http://www.verisignlabs.com
David Blacka VeriSign, Inc. 21355 Ridgetop Circle Dulles, VA 20166 US
デビッドBlackaベリサイン社21355 Ridgetopサークルダレス、VA 20166米国
Phone: +1 703 948 3200 EMail: davidb@verisign.com URI: http://www.verisignlabs.com
電話:+1 703 948 3200 Eメール:davidb@verisign.com URI:http://www.verisignlabs.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。