RFC4956 日本語訳
4956 DNS Security (DNSSEC) Opt-In. R. Arends, M. Kosters, D. Blacka. July 2007. (Format: TXT=32033 bytes) (Status: EXPERIMENTAL)
プログラムでの自動翻訳です。
英語原文
Network Working Group R. Arends
Request for Comments: 4956 Nominet
Category: Experimental M. Kosters
D. Blacka
VeriSign, Inc.
July 2007
Arendsがコメントのために要求するワーキンググループR.をネットワークでつないでください: 4956年のNominetカテゴリ: 実験的なM.のKosters D.BlackaベリサインInc.2007年7月
DNS Security (DNSSEC) Opt-In
DNSセキュリティ(DNSSEC)オプトイン
Status of This Memo
このメモの状態
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのためにExperimentalプロトコルを定義します。 それはどんな種類のインターネット標準も指定しません。 議論と改善提案は要求されています。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The IETF Trust (2007).
IETFが信じる著作権(C)(2007)。
Abstract
要約
In the DNS security (DNSSEC) extensions, delegations to unsigned subzones are cryptographically secured. Maintaining this cryptography is not always practical or necessary. This document describes an experimental "Opt-In" model that allows administrators to omit this cryptography and manage the cost of adopting DNSSEC with large zones.
DNSセキュリティ(DNSSEC)拡大では、暗号で無記名の「副-ゾーン」への代表団を安全にします。 この暗号を維持するのは、いつも実用的でもあるというわけではなくて、必要でもありません。 このドキュメントは管理者に大きいゾーンでこの暗号を省略して、DNSSECを採用する費用を管理させる実験「オプトイン」モデルについて、説明します。
Arends, et al. Experimental [Page 1] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[1ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
Table of Contents
目次
1. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Definitions and Terminology . . . . . . . . . . . . . . . . . 3
3. Experimental Status . . . . . . . . . . . . . . . . . . . . . 4
4. Protocol Additions . . . . . . . . . . . . . . . . . . . . . . 5
4.1. Server Considerations . . . . . . . . . . . . . . . . . . 6
4.1.1. Delegations Only . . . . . . . . . . . . . . . . . . . 6
4.1.2. Insecure Delegation Responses . . . . . . . . . . . . 6
4.1.3. Dynamic Update . . . . . . . . . . . . . . . . . . . . 6
4.2. Client Considerations . . . . . . . . . . . . . . . . . . 7
4.2.1. Delegations Only . . . . . . . . . . . . . . . . . . . 7
4.2.2. Validation Process Changes . . . . . . . . . . . . . . 7
4.2.3. NSEC Record Caching . . . . . . . . . . . . . . . . . 8
4.2.4. Use of the AD bit . . . . . . . . . . . . . . . . . . 8
5. Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6. Example . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
7. Transition Issues . . . . . . . . . . . . . . . . . . . . . . 11
8. Security Considerations . . . . . . . . . . . . . . . . . . . 11
9. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 13
10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 13
10.1. Normative References . . . . . . . . . . . . . . . . . . . 13
10.2. Informative References . . . . . . . . . . . . . . . . . . 13
Appendix A. Implementing Opt-In Using "Views" . . . . . . . . . . 15
1. 概観. . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2。 定義と用語. . . . . . . . . . . . . . . . . 3 3。 実験状態. . . . . . . . . . . . . . . . . . . . . 4 4。 追加. . . . . . . . . . . . . . . . . . . . . . 5 4.1について議定書の中で述べてください。 サーバ問題. . . . . . . . . . . . . . . . . . 6 4.1.1。 代表団唯一の. . . . . . . . . . . . . . . . . . . 6 4.1.2。 不安定な代表団応答. . . . . . . . . . . . 6 4.1.3。 ダイナミック・アップデート. . . . . . . . . . . . . . . . . . . . 6 4.2。 クライアント問題. . . . . . . . . . . . . . . . . . 7 4.2.1。 代表団唯一の. . . . . . . . . . . . . . . . . . . 7 4.2.2。 合法化の過程は.3に.74.2を変えます。 nsec記録キャッシュ. . . . . . . . . . . . . . . . . 8 4.2.4。 ADの使用は.8 5に噛み付きました。 利益. . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6。 例. . . . . . . . . . . . . . . . . . . . . . . . . . . 9 7。 変遷は.118を発行します。 セキュリティ問題. . . . . . . . . . . . . . . . . . . 11 9。 承認. . . . . . . . . . . . . . . . . . . . . . . 13 10。 参照. . . . . . . . . . . . . . . . . . . . . . . . . . 13 10.1。 引用規格. . . . . . . . . . . . . . . . . . . 13 10.2。 「視点」. . . . . . . . . . 15を使用することでオプトインを実行する有益な参照. . . . . . . . . . . . . . . . . . 13付録A.
Arends, et al. Experimental [Page 2] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[2ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
1. Overview
1. 概観
The cost to cryptographically secure delegations to unsigned zones is high for large delegation-centric zones and zones where insecure delegations will be updated rapidly. For these zones, the costs of maintaining the NextSECure (NSEC) record chain may be extremely high relative to the gain of cryptographically authenticating existence of unsecured zones.
大きい代表団中心のゾーンと不安定な代表団が急速にアップデートされるゾーンに、暗号で無記名のゾーンに代表団を安全にする費用は高いです。 これらのゾーンにおいて、NextSECure(NSEC)がチェーンを記録すると主張するコストは暗号で非安全にされたゾーンの存在を認証する獲得に比例して非常に高いかもしれません。
This document describes an experimental method of eliminating the superfluous cryptography present in secure delegations to unsigned zones. Using "Opt-In", a zone administrator can choose to remove insecure delegations from the NSEC chain. This is accomplished by extending the semantics of the NSEC record by using a redundant bit in the type map.
このドキュメントは安全な代表団における無記名のゾーンへの現在の余計な暗号を排除する実験的方法を説明します。 「オプトイン」を使用して、ゾーンの管理者は、NSECチェーンから不安定な代表団を取り除くのを選ぶことができます。 これは、タイプ地図で余分なビットを使用することによってNSEC記録の意味論について敷衍することによって、達成されます。
2. Definitions and Terminology
2. 定義と用語
Throughout this document, familiarity with the DNS system (RFC 1035 [1]), DNS security extensions ([4], [5], and [6], referred to in this document as "standard DNSSEC"), and DNSSEC terminology (RFC 3090 [10]) is assumed.
このドキュメント、DNSシステム(本書では「標準のDNSSEC」に言及されたRFC1035[1])、DNSセキュリティ拡大([4]、[5]、および[6])、およびDNSSEC用語への親しみ、(RFC3090[10])は想定されます。
The following abbreviations and terms are used in this document:
次の略語と用語は本書では使用されます:
RR: is used to refer to a DNS resource record.
RR: DNSリソース記録を示すために、使用されます。
RRset: refers to a Resource Record Set, as defined by [8]. In this
document, the RRset is also defined to include the covering RRSIG
records, if any exist.
RRset: [8]によって定義されるようにResource Record Setについて言及します。 また、本書では、いずれか存在しているなら、RRsetは、覆いRRSIG記録を含むように定義されます。
signed name: refers to a DNS name that has, at minimum, a (signed)
NSEC record.
サインされた名前: 最小限で(サインされます)NSEC記録を持っているDNS名を示します。
unsigned name: refers to a DNS name that does not (at least) have an
NSEC record.
無記名の名前: NSECが(少なくとも)記録しないDNS名を示します。
covering NSEC record/RRset: is the NSEC record used to prove
(non)existence of a particular name or RRset. This means that for
a RRset or name 'N', the covering NSEC record has the name 'N', or
has an owner name less than 'N' and "next" name greater than 'N'.
覆いNSEC記録/RRset: NSEC記録が立証するのにおいて使用されている、(非、)、特定の名前かRRsetの存在。 'これがRRsetか名前のためにそれを意味して、覆いNSEC記録には'名前がある、'、それほど所有者名を持っていない、'「次」の名前、すばらしさ、'
delegation: refers to an NS RRset with a name different from the
current zone apex (non-zone-apex), signifying a delegation to a
subzone.
代表団: 「副-ゾーン」に代表団を意味して、現在のゾーンの頂点(非ゾーンの頂点)と異なった名前でNS RRsetについて言及します。
Arends, et al. Experimental [Page 3] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[3ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
secure delegation: refers to a signed name containing a delegation
(NS RRset), and a signed DS RRset, signifying a delegation to a
signed subzone.
代表団を安全にしてください: サインされた「副-ゾーン」に代表団を意味して、代表団(NS RRset)、およびサインされたDS RRsetを含むサインされた名前を示します。
insecure delegation: refers to a signed name containing a delegation
(NS RRset), but lacking a DS RRset, signifying a delegation to an
unsigned subzone.
不安定な代表団: 代表団(NS RRset)を含みますが、無記名の「副-ゾーン」に代表団を意味して、DS RRsetを欠いているサインされた名前を示します。
Opt-In insecure delegation: refers to an unsigned name containing
only a delegation NS RRset. The covering NSEC record uses the
Opt-In methodology described in this document.
中で選ぶことの不安定な代表団: 代表団NS RRsetだけを含む無記名の名前を示します。 覆いNSEC記録は本書では説明された中のOpt方法論を使用します。
The key words "MUST, "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY, and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [2].
キーワード、「必須、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「」 「5月、このドキュメントで「任意」はRFC2119[2]で説明されるように解釈されることであるべきではありません」「推薦され」て。
3. Experimental Status
3. 実験状態
This document describes an EXPERIMENTAL extension to DNSSEC. It interoperates with non-experimental DNSSEC using the technique described in [7]. This experiment is identified with the following private algorithms (using algorithm 253):
このドキュメントはEXPERIMENTAL拡張子についてDNSSECに説明します。 非実験的なDNSSECが[7]で説明されたテクニックを使用している状態で、それは共同利用します。 この実験は以下の個人的なアルゴリズムと同一視されています(アルゴリズム253を使用して):
"3.optin.verisignlabs.com": is an alias for DNSSEC algorithm 3, DSA,
and
"3.optin.verisignlabs.com": そしてDSA、別名がDNSSECアルゴリズム3のためのものである。
"5.optin.verisignlabs.com": is an alias for DNSSEC algorithm 5,
RSASHA1.
"5.optin.verisignlabs.com": RSASHA1、別名はDNSSECアルゴリズム5のためのものですか?
Servers wishing to sign and serve zones that utilize Opt-In MUST sign the zone with only one or more of these private algorithms and MUST NOT use any other algorithms.
中のOptを利用するサインしたがっているサーバとサーブゾーンは、1だけかこれらの個人的なアルゴリズムの以上をゾーンと契約しなければならなくて、いかなる他のアルゴリズムも使用してはいけません。
Resolvers MUST NOT apply the Opt-In validation rules described in this document unless a zone is signed using one or more of these private algorithms.
レゾルバはこれらの個人的なアルゴリズムの1つ以上を使用することでゾーンが本書ではサインされない場合説明された中のOpt合法化規則を適用してはいけません。
This experimental protocol relaxes the restriction that validators MUST ignore the setting of the NSEC bit in the type map as specified in RFC 4035 [6] Section 5.4.
この実験プロトコルはvalidatorsがRFC4035[6]部5.4の指定されるとしてのタイプ地図でNSECビットの設定を無視しなければならないという規制を緩和します。
The remainder of this document assumes that the servers and resolvers involved are aware of and are involved in this experiment.
このドキュメントの残りが、かかわったサーバとレゾルバが意識していると仮定する、これが実験するかかわったコネはそうです。
Arends, et al. Experimental [Page 4] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[4ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
4. Protocol Additions
4. プロトコル追加
In DNSSEC, delegation NS RRsets are not signed, but are instead accompanied by an NSEC RRset of the same name and (possibly) a DS record. The security status of the subzone is determined by the presence or absence of the DS RRset, cryptographically proven by the NSEC record. Opt-In expands this definition by allowing insecure delegations to exist within an otherwise signed zone without the corresponding NSEC record at the delegation's owner name. These insecure delegations are proven insecure by using a covering NSEC record.
DNSSECでは、代表団NS RRsetsはサインされませんが、代わりに同じ名前と(ことによると)DS記録のNSEC RRsetによって同伴されます。 「副-ゾーン」のセキュリティ状態は、DS RRsetの存在か不在によって決定して、NSEC記録によって暗号で立証されています。 中で選ぶのが存在するように不安定な代表団を許容するのによるこの定義を広げる、そうでなければ、ゾーンにサインする、代表団の所有者名における対応するNSEC記録なしで。 これらの不安定な代表団は、不安定であると覆いNSEC記録を使用することによって、立証されます。
Since this represents a change of the interpretation of NSEC records, resolvers must be able to distinguish between RFC standard DNSSEC NSEC records and Opt-In NSEC records. This is accomplished by "tagging" the NSEC records that cover (or potentially cover) insecure delegation nodes. This tag is indicated by the absence of the NSEC bit in the type map. Since the NSEC bit in the type map merely indicates the existence of the record itself, this bit is redundant and safe for use as a tag.
これがNSEC記録の解釈の変化を表すので、レゾルバはRFCの標準のDNSSEC NSEC記録と中のOpt NSEC記録を見分けることができなければなりません。 これは、(または、潜在的にカバー)不安定な代表団ノードに関するNSEC記録が「タグ付け」であることによって、達成されます。 このタグはタイプ地図における、NSECビットの欠如で示されます。 タイプ地図のNSECビットが単に記録自体の存在を示すので、使用に、このビットは、タグとして余分であって、安全です。
An Opt-In tagged NSEC record does not assert the (non)existence of the delegations that it covers (except for a delegation with the same name). This allows for the addition or removal of these delegations without recalculating or resigning records in the NSEC chain. However, Opt-In tagged NSEC records do assert the (non)existence of other RRsets.
中のOptのタグ付けをされたNSEC記録が断言しない、(非、)、それが覆う(同じ名前がある代表団を除いて)代表団の存在。 NSECチェーンで記録を再計算するか、または辞職しないで、これはこれらの代表団の添加か取り外しを考慮します。 しかしながら、中のOptのタグ付けをされたNSEC記録が断言する、(非、)、他のRRsetsの存在。
An Opt-In NSEC record MAY have the same name as an insecure delegation. In this case, the delegation is proven insecure by the lack of a DS bit in the type map, and the signed NSEC record does assert the existence of the delegation.
中のOpt NSEC記録には、不安定な代表団と同じ名前があるかもしれません。 この場合、代表団はタイプ地図のDSビットの不足によって不安定な状態で立証されます、そして、サインされたNSEC記録は代表団の存在について断言します。
Zones using Opt-In MAY contain a mixture of Opt-In tagged NSEC records and standard DNSSEC NSEC records. If an NSEC record is not Opt-In, there MUST NOT be any insecure delegations (or any other records) between it and the RRsets indicated by the 'next domain name' in the NSEC RDATA. If it is Opt-In, there MUST only be insecure delegations between it and the next node indicated by the 'next domain name' in the NSEC RDATA.
中のOptを使用するゾーンは中のOptのタグ付けをされたNSEC記録と標準のDNSSEC NSEC記録の混合物を含むかもしれません。 NSECレコードが中のOptでないなら、NSEC RDATAの'次のドメイン名'によって示されたそれとRRsetsの間には、少しの不安定な代表団(または、いかなる他の記録)もあるはずがありません。 それが中のOptであるなら、それとNSEC RDATAの'次のドメイン名'によって示された次のノードの間には、不安定な代表団があるだけであるに違いありません。
In summary,
概要で
o An Opt-In NSEC type is identified by a zero-valued (or not-
specified) NSEC bit in the type bit map of the NSEC record.
o または、中のOpt NSECタイプがaによって無評価されていた状態で特定される、(-、指定、)、NSECはNSEC記録のタイプビットマップで噛み付きました。
Arends, et al. Experimental [Page 5] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[5ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
o A standard DNSSEC NSEC type is identified by a one-valued NSEC bit
in the type bit map of the NSEC record.
o 標準のDNSSEC NSECタイプはNSEC記録のタイプビットマップの1で評価されたNSECビットによって特定されます。
and
そして
o An Opt-In NSEC record does not assert the non-existence of a name
between its owner name and "next" name, although it does assert
that any name in this span MUST be an insecure delegation.
o 中のOpt NSEC記録は所有者名と「次」の名前の間の名前の非存在について断言しません、この長さのどんな名前も不安定な代表団であるに違いないと断言しますが。
o An Opt-In NSEC record does assert the (non)existence of RRsets
with the same owner name.
o 中のOpt NSEC記録が断言する、(非、)、同じ所有者名があるRRsetsの存在。
4.1. Server Considerations
4.1. サーバ問題
Opt-In imposes some new requirements on authoritative DNS servers.
中で選ぶのはいくつかの新しい要件を正式のDNSサーバに課します。
4.1.1. Delegations Only
4.1.1. 代表団専用
This specification dictates that only insecure delegations may exist between the owner and "next" names of an Opt-In tagged NSEC record. Signing tools MUST NOT generate signed zones that violate this restriction. Servers MUST refuse to load and/or serve zones that violate this restriction. Servers also MUST reject AXFR or IXFR responses that violate this restriction.
この仕様は、不安定な代表団だけが中のOptのタグ付けをされたNSEC記録の所有者と「次」の名前の間に存在するかもしれないと決めます。 ツールが発生させてはいけない調印はこの制限に違反するゾーンにサインしました。 サーバは、この制限に違反するゾーンにロードする、そして/または、役立つのを拒否しなければなりません。 サーバもこの制限に違反するAXFRかIXFR応答を拒絶しなければなりません。
4.1.2. Insecure Delegation Responses
4.1.2. 不安定な代表団応答
When returning an Opt-In insecure delegation, the server MUST return the covering NSEC RRset in the Authority section.
中のOptの不安定な代表団を返すとき、サーバはAuthority部で覆いNSEC RRsetを返さなければなりません。
In standard DNSSEC, NSEC records already must be returned along with the insecure delegation. The primary difference that this proposal introduces is that the Opt-In tagged NSEC record will have a different owner name from the delegation RRset. This may require implementations to search for the covering NSEC RRset.
標準のDNSSECでは、不安定な代表団と共にNSEC記録を既に返さなければなりません。 この提案が導入する第一の違いは中のOptのタグ付けをされたNSEC記録には代表団RRsetからの異なった所有者名があるということです。 これは、覆いNSEC RRsetを捜し求めるために実現を必要とするかもしれません。
4.1.3. Dynamic Update
4.1.3. ダイナミック・アップデート
Opt-In changes the semantics of Secure DNS Dynamic Update [9]. In particular, it introduces the need for rules that describe when to add or remove a delegation name from the NSEC chain. This document does not attempt to define these rules. Until these rules are defined, servers MUST NOT process DNS Dynamic Update requests against zones that use Opt-In NSEC records. Servers SHOULD return responses to update requests with RCODE=REFUSED.
中で選ぶのはSecure DNSダイナミック・アップデート[9]の意味論を変えます。 特に、それはNSECチェーンから代表団名をいつ加えるか、または取り除くかを説明する規則の必要性を導入します。 このドキュメントは、これらの規則を定義するのを試みません。 これらの規則が定義されるまで、サーバは中のOpt NSEC記録を使用するゾーンに対してDNSダイナミック・アップデート要求を処理してはいけません。 サーバSHOULDは、RCODE=REFUSEDとの要求をアップデートするために応答を返します。
Arends, et al. Experimental [Page 6] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[6ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
4.2. Client Considerations
4.2. クライアント問題
Opt-In imposes some new requirements on security-aware resolvers (caching or otherwise).
中で選ぶのはセキュリティ意識しているレゾルバ(キャッシュしているかそうでない)にいくつかの新しい要件を課します。
4.2.1. Delegations Only
4.2.1. 代表団専用
As stated in Section 4.1 above, this specification restricts the namespace covered by Opt-In tagged NSEC records to insecure delegations only. Clients are not expected to take any special measures to enforce this restriction; instead, it forms an underlying assumption that clients may rely on.
セクション4.1に述べられているように、上では、この仕様が中のOptのタグ付けをされたNSEC記録でカバーされた名前空間を不安定な代表団だけに制限します。 クライアントがこの制限を実施するどんな特別な対策も実施しないと予想されます。 代わりに、それはクライアントが依存するかもしれない基本的な仮定を形成します。
4.2.2. Validation Process Changes
4.2.2. 合法化過程変化
This specification does not change the resolver's resolution algorithm. However, it does change the DNSSEC validation process.
この仕様はリゾルバの解決アルゴリズムを変えません。 しかしながら、それはDNSSEC合法化の過程を変えます。
4.2.2.1. Referrals
4.2.2.1. 紹介
Resolvers MUST be able to use Opt-In tagged NSEC records to cryptographically prove the validity and security status (as insecure) of a referral. Resolvers determine the security status of the referred-to zone as follows:
レゾルバは、正当性とセキュリティが紹介の状態(不安定であるとしての)であると暗号で立証するのに中のOptのタグ付けをされたNSEC記録を使用できなければなりません。 レゾルバは以下の言及しているゾーンのセキュリティ状態を決定します:
o In standard DNSSEC, the security status is proven by the existence
or absence of a DS RRset at the same name as the delegation. The
existence of the DS RRset indicates that the referred-to zone is
signed. The absence of the DS RRset is proven using a verified
NSEC record of the same name that does not have the DS bit set in
the type map. This NSEC record MAY also be tagged as Opt-In.
o 標準のDNSSECでは、セキュリティ状態は代表団と同じ名前でDS RRsetの存在か不在で証明されます。 DS RRsetの存在は、言及しているゾーンがサインされるのを示します。 DS RRsetの不在は、タイプ地図にDSビットを設定しない同じ名前の確かめられたNSEC記録を使用することで立証されます。 また、このNSEC記録は中のOptとしてタグ付けをされるかもしれません。
o Using Opt-In, the security status is proven by the existence of a
DS record (for signed) or the presence of a verified Opt-In tagged
NSEC record that covers the delegation name. That is, the NSEC
record does not have the NSEC bit set in the type map, and the
delegation name falls between the NSEC's owner and "next" name.
o 中のOptを使用して、セキュリティ状態がDS記録の存在によって証明される、(サイン、)、または、代表団名に関する確かめられた中のOptタグ付けをされたNSEC記録の存在。 タイプ地図にすなわち、NSEC記録でNSECビットを設定しません、そして、代表団名はNSECの所有者と「次」の名前の間に下がります。
Using Opt-In does not substantially change the nature of following referrals within DNSSEC. At every delegation point, the resolver will have cryptographic proof that the referred-to subzone is signed or unsigned.
中のOptを使用する場合、次の紹介の本質はDNSSECの中で実質的に変化しません。 あらゆる代表団ポイントでは、レゾルバは参照された「副-ゾーン」がサインされているか、または無記名であるという暗号の証拠を持つでしょう。
4.2.2.2. Queries for DS Resource Records
4.2.2.2. DSリソース記録のための質問
Since queries for DS records are directed to the parent side of a zone cut (see [5], Section 5), negative responses to these queries may be covered by an Opt-In flagged NSEC record.
DS記録のための質問がゾーンカットの親側に向けられるので([5]を見てください、セクション5)、これらの質問への否定応答は中のOptの旗を揚げさせられたNSEC記録でカバーされているかもしれません。
Arends, et al. Experimental [Page 7] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[7ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
Resolvers MUST be able to use Opt-In tagged NSEC records to cryptographically prove the validity and security status of negative responses to queries for DS records. In particular, a NOERROR/NODATA (i.e., RCODE=3, but the answer section is empty) response to a DS query may be proven by an Opt-In flagged covering NSEC record, rather than an NSEC record matching the query name.
レゾルバは、正当性とセキュリティが否定応答の状態であると暗号でDS記録のための質問に立証するのに中のOptのタグ付けをされたNSEC記録を使用できなければなりません。 特に、DS質問へのNOERROR/NODATA(すなわち、RCODE=3、答え部だけが人影がありません)応答は質問名に合っているNSEC記録よりむしろ中のNSECを覆いながら旗を揚げられたOpt記録によって立証されるかもしれません。
4.2.3. NSEC Record Caching
4.2.3. nsec記録キャッシュ
Caching resolvers MUST be able to retrieve the appropriate covering Opt-In NSEC record when returning referrals that need them. This requirement differs from standard DNSSEC in that the covering NSEC will not have the same owner name as the delegation. Some implementations may have to use new methods for finding these NSEC records.
それらを必要とする紹介を返すとき、レゾルバをキャッシュすると、適切な覆い中のOpt NSEC記録を検索できなければなりません。 この要件は覆いNSECには代表団と同じ所有者名がないという点において標準のDNSSECと異なっています。 いくつかの実現が、これらのNSEC記録を見つけるのに新しい方法を使用しなければならないかもしれません。
4.2.4. Use of the AD bit
4.2.4. ADビットの使用
The AD bit, as defined by [3] and [6], MUST NOT be set when:
[3]と[6]によって定義されるADビットはいつを設定するかことであるはずがありません:
o sending a Name Error (RCODE=3) response where the covering NSEC is
tagged as Opt-In.
o 覆いNSECが中のOptとしてタグ付けをされるところにName Error(RCODE=3)応答を送ります。
o sending an Opt-In insecure delegation response, unless the
covering (Opt-In) NSEC record's owner name equals the delegation
name.
o 覆い(加わる)NSEC記録の所有者名が代表団名と等しくない場合、中のOptの不安定な代表団応答を送ります。
o sending a NOERROR/NODATA response when query type is DS and the
covering NSEC is tagged as Opt-In, unless NSEC record's owner name
matches the query name.
o 質問タイプがDSと覆いNSECであるときにNOERROR/NODATA応答を送るのは中のOptとしてタグ付けをされます、NSEC記録の所有者名が質問名に合っていない場合。
This rule is based on what the Opt-In NSEC record actually proves: for names that exist between the Opt-In NSEC record's owner and "next" names, the Opt-In NSEC record cannot prove the non-existence or existence of the name. As such, not all data in the response has been cryptographically verified, so the AD bit cannot be set.
この規則は中のOpt NSEC記録が実際に何を立証するかに基づいています: 中のOpt NSEC記録の所有者と「次」の名前の間に存在する名前のために、中のOpt NSEC記録は名前の非存在か存在を立証できません。 そういうものとして、すべてではなく、応答におけるデータが暗号で確かめられたので、ADビットを設定できません。
5. Benefits
5. 利益
Using Opt-In allows administrators of large and/or changing delegation-centric zones to minimize the overhead involved in maintaining the security of the zone.
中のOptを使用するのに、大きい、そして/または、変化している代表団中心のゾーンの管理者はゾーンのセキュリティを維持するのに伴われるオーバーヘッドを最小にすることができます。
Opt-In accomplishes this by eliminating the need for NSEC records for insecure delegations. This, in a zone with a large number of delegations to unsigned subzones, can lead to substantial space savings (both in memory and on disk). Additionally, Opt-In allows for the addition or removal of insecure delegations without modifying
中で選ぶのは、不安定な代表団のためのNSEC記録の必要性を排除することによって、これを達成します。 無記名の「副-ゾーン」への多くの代表団があるゾーンでは、これがかなりのスペース貯蓄(メモリとディスクの上の)に通じることができます。 さらに、中のOptは変更なしで不安定な代表団の添加か取り外しを考慮します。
Arends, et al. Experimental [Page 8] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[8ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
the NSEC record chain. Zones that are frequently updating insecure delegations (e.g., Top-Level Domains (TLDs)) can avoid the substantial overhead of modifying and resigning the affected NSEC records.
NSECはチェーンを記録します。 頻繁に不安定な代表団(例えば、Top-レベルDomains(TLDs))をアップデートしているゾーンは影響を受けるNSEC記録を変更して、辞職するかなりのオーバーヘッドを避けることができます。
6. Example
6. 例
Consider the zone EXAMPLE shown below. This is a zone where all of the NSEC records are tagged as Opt-In.
ゾーンが以下で見せられたEXAMPLEであると考えてください。 これはNSEC記録のすべてが中のOptとしてタグ付けをされるゾーンです。
Example A: Fully Opt-In Zone.
例A: 完全に、オプトインは帯状になります。
EXAMPLE. SOA ...
EXAMPLE. RRSIG SOA ...
EXAMPLE. NS FIRST-SECURE.EXAMPLE.
EXAMPLE. RRSIG NS ...
EXAMPLE. DNSKEY ...
EXAMPLE. RRSIG DNSKEY ...
EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. (
SOA NS RRSIG DNSKEY )
EXAMPLE. RRSIG NSEC ...
例。 SOA… 例。 RRSIG SOA… 例。 最初に、ナノ秒SECURE.EXAMPLE。 例。 RRSIGナノ秒… 例。 DNSKEY… 例。 RRSIG DNSKEY… 例。 最初に、nsec SECURE.EXAMPLE。 (SOAナノ秒RRSIG DNSKEY) 例。 RRSIG nsec…
FIRST-SECURE.EXAMPLE. A ...
FIRST-SECURE.EXAMPLE. RRSIG A ...
FIRST-SECURE.EXAMPLE. NSEC NOT-SECURE-2.EXAMPLE. A RRSIG
FIRST-SECURE.EXAMPLE. RRSIG NSEC ...
最初に、SECURE.EXAMPLE。 A… 最初に、SECURE.EXAMPLE。 RRSIG A… 最初に、SECURE.EXAMPLE。 nsecの安全でない2.EXAMPLE。 最初に、RRSIG SECURE.EXAMPLE。 RRSIG nsec…
NOT-SECURE.EXAMPLE. NS NS.NOT-SECURE.EXAMPLE.
NS.NOT-SECURE.EXAMPLE. A ...
SECURE.EXAMPLEでない。 ナノ秒NS.NOT-SECURE.EXAMPLE。 NS.NOT-SECURE.EXAMPLE。 A…
NOT-SECURE-2.EXAMPLE. NS NS.NOT-SECURE.EXAMPLE.
NOT-SECURE-2.EXAMPLE NSEC SECOND-SECURE.EXAMPLE NS RRSIG
NOT-SECURE-2.EXAMPLE RRSIG NSEC ...
2.EXAMPLEを固定していません。 ナノ秒NS.NOT-SECURE.EXAMPLE。 安全でない2.EXAMPLE nsec2番目-SECURE.EXAMPLEナノ秒のRRSIGの安全でない2.EXAMPLE RRSIG、nsec…
SECOND-SECURE.EXAMPLE. NS NS.ELSEWHERE.
SECOND-SECURE.EXAMPLE. DS ...
SECOND-SECURE.EXAMPLE. RRSIG DS ...
SECOND-SECURE.EXAMPLE. NSEC EXAMPLE. NS RRSIG DNSKEY
SECOND-SECURE.EXAMPLE. RRSIG NSEC ...
2番目-SECURE.EXAMPLE。 ナノ秒NS.ELSEWHERE。 2番目-SECURE.EXAMPLE。 DS… 2番目-SECURE.EXAMPLE。 RRSIG DS… 2番目-SECURE.EXAMPLE。 nsecの例。 ナノ秒RRSIG DNSKEY2番目-SECURE.EXAMPLE。 RRSIG nsec…
UNSIGNED.EXAMPLE. NS NS.UNSIGNED.EXAMPLE.
NS.UNSIGNED.EXAMPLE. A ...
UNSIGNED.EXAMPLE。 ナノ秒NS.UNSIGNED.EXAMPLE。 NS.UNSIGNED.EXAMPLE。 A…
Example A.
例A。
Arends, et al. Experimental [Page 9] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[9ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
In this example, a query for a signed RRset (e.g., "FIRST-
SECURE.EXAMPLE A") or a secure delegation ("WWW.SECOND-SECURE.EXAMPLE
A") will result in a standard DNSSEC response.
この例に、aのための質問はRRset(例えば、「最初に、SECURE.EXAMPLE A」)にサインしたか、または安全な代表団(「WWW2番目-SECURE.EXAMPLE A」)は標準のDNSSEC応答をもたらすでしょう。
A query for a nonexistent RRset will result in a response that differs from standard DNSSEC by the following: the NSEC record will be tagged as Opt-In, there may be no NSEC record proving the non- existence of a matching wildcard record, and the AD bit will not be set.
実在しないRRsetのための質問は以下で標準のDNSSECと異なっている応答をもたらすでしょう: 中のOpt、合っているワイルドカード記録の非存在を立証するNSEC記録が全くないかもしれなくて、またADビットが設定されないとき、NSEC記録はタグ付けをされるでしょう。
A query for an insecure delegation RRset (or a referral) will return both the answer (in the Authority section) and the corresponding Opt-In NSEC record to prove that it is not secure.
RRset(または、紹介)がそれが安全でないと立証するために答え(Authority部の)と対応する中のOpt NSEC記録の両方を返す不安定な代表団のための質問。
Example A.1: Response to query for WWW.UNSIGNED.EXAMPLE. A
例のA.1: WWW.UNSIGNED.EXAMPLEのために質問する応答。 A
RCODE=NOERROR, AD=0
RCODE=NOERROR、西暦=0
Answer Section:
セクションに答えてください:
Authority Section:
UNSIGNED.EXAMPLE. NS NS.UNSIGNED.EXAMPLE
SECOND-SECURE.EXAMPLE. NSEC EXAMPLE. NS RRSIG DS
SECOND-SECURE.EXAMPLE. RRSIG NSEC ...
権威部: UNSIGNED.EXAMPLE。 ナノ秒NS.UNSIGNED.EXAMPLE2番目-SECURE.EXAMPLE。 nsecの例。 ナノ秒RRSIG DS2番目-SECURE.EXAMPLE。 RRSIG nsec…
Additional Section:
NS.UNSIGNED.EXAMPLE. A ...
追加セクション: NS.UNSIGNED.EXAMPLE。 A…
Example A.1
例のA.1
In the Example A.1 zone, the EXAMPLE. node MAY use either style of NSEC record, because there are no insecure delegations that occur between it and the next node, FIRST-SECURE.EXAMPLE. In other words, Example A would still be a valid zone if the NSEC record for EXAMPLE. was changed to the following RR:
Example A.1ゾーン. ノードがそうするEXAMPLEでは、どちらかのスタイルに関するNSEC記録を使用してください、それと次のノードの間に起こるどんな不安定な代表団もないので、FIRST-SECURE.EXAMPLE。 言い換えれば、NSECがEXAMPLEのために記録するならExample Aがまだ有効なゾーンであるだろう、以下のRRに変えました:
EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. (SOA NS
RRSIG DNSKEY NSEC )
例。 最初に、nsec SECURE.EXAMPLE。 (SOAナノ秒、RRSIG DNSKEY nsec)
However, the other NSEC records (FIRST-SECURE.EXAMPLE. and SECOND- SECURE.EXAMPLE.) MUST be tagged as Opt-In because there are insecure delegations in the range they define. (NOT-SECURE.EXAMPLE. and UNSIGNED.EXAMPLE., respectively).
しかしながら、もう片方のNSECは(FIRST-SECURE.EXAMPLE SECOND- SECURE.EXAMPLE)を記録します。 不安定な代表団がそれらが定義する範囲にあるので、中のOptとしてタグ付けをしなければなりません。 (SECURE.EXAMPLEでないUNSIGNED.EXAMPLE、それぞれ)
NOT-SECURE-2.EXAMPLE. is an example of an insecure delegation that is part of the NSEC chain and also covered by an Opt-In tagged NSEC record. Because NOT-SECURE-2.EXAMPLE. is a signed name, it cannot be
何かSECURE-2.EXAMPLEチェーンであってまた、中のOptのタグ付けをされたNSEC記録で覆われたNSECの一部である不安定な代表団が例がありませんか? SECURE-2.EXAMPLEでないaがサインされた名前である、それはそうであるはずがありません。
Arends, et al. Experimental [Page 10] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[10ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
removed from the zone without modifying and resigning the prior NSEC record. Delegations with names that fall between NOT-SECURE- 2.EXAMPLE. and SECOND-SECURE.EXAMPLE. may be added or removed without resigning any NSEC records.
ゾーンから、先のNSEC記録を変更して、辞職しないで、取り外しました。 名前で、それはNOT-SECURE2.EXAMPLE SECOND-SECURE.EXAMPLEの間で低下します。代表団、どんなNSEC記録も辞職しないで、加えるか、または取り除くかもしれません。
7. Transition Issues
7. 変遷問題
Opt-In is not backwards compatible with standard DNSSEC and is considered experimental. Standard DNSSEC-compliant implementations would not recognize Opt-In tagged NSEC records as different from standard NSEC records. Because of this, standard DNSSEC implementations, if they were to validate Opt-In style responses, would reject all Opt-In insecure delegations within a zone as invalid. However, by only signing with private algorithms, standard DNSSEC implementations will treat Opt-In responses as unsigned.
中で選ぶのは、後方に標準のDNSSECと互換性があった状態でなくて、実験的であると考えられます。 標準のDNSSEC対応することの実現は、中のOptが標準のNSEC記録と異なるとしてNSEC記録にタグ付けをしたと認めないでしょう。 これのために、彼らが格好よいOpt応答を有効にするなら、標準のDNSSEC実現は無効の同じくらいゾーンの中のすべての中のOptの不安定な代表団を拒絶するでしょうに。 しかしながら、個人的なアルゴリズムと契約するだけで、標準のDNSSEC実現は無記名として中のOpt応答を扱うでしょう。
It should be noted that all elements in the resolution path between (and including) the validator and the authoritative name server must be aware of the Opt-In experiment and implement the Opt-In semantics for successful validation to be possible. In particular, this includes any caching middleboxes between the validator and authoritative name server.
(そして、包含)validatorと正式のネームサーバの間の解決経路のすべての要素が中のOpt実験を意識していて、うまくいっている合法化が可能であるように中のOpt意味論を実行しなければならないことに注意されるべきです。 特に、これは、validatorと正式のネームサーバの間でmiddleboxesをキャッシュしながら、いずれも含んでいます。
8. Security Considerations
8. セキュリティ問題
Opt-In allows for unsigned names, in the form of delegations to unsigned subzones, to exist within an otherwise signed zone. All unsigned names are, by definition, insecure, and their validity or existence cannot be cryptographically proven.
中で選ぶのが、無記名の名前、無記名への代表団のフォームが副区分するコネが存在するのを許容する、そうでなければ、ゾーンにサインします。 すべての無記名の名前が定義上不安定です、そして、暗号でそれらの正当性か存在は立証できません。
In general:
一般に:
o Records with unsigned names (whether or not existing) suffer from
the same vulnerabilities as records in an unsigned zone. These
vulnerabilities are described in more detail in [12] (note in
particular Sections 2.3, "Name Games" and 2.6, "Authenticated
Denial").
o 無記名の名前(既存であるか否かに関係なく)がある記録は無記名のゾーンで記録と同じ脆弱性に苦しみます。 これらの脆弱性はさらに詳細に[12](セクション2.3(「名前ゲーム」と2.6)が「否定を認証した」と特に述べる)で説明されます。
o Records with signed names have the same security whether or not
Opt-In is used.
o サインされた名前がある記録には、中のOptが使用されているか否かに関係なく、同じセキュリティがあります。
Note that with or without Opt-In, an insecure delegation may have its contents undetectably altered by an attacker. Because of this, the primary difference in security that Opt-In introduces is the loss of the ability to prove the existence or nonexistence of an insecure delegation within the span of an Opt-In NSEC record.
中のOptのあるなしにかかわらず不安定な代表団が攻撃者にコンテンツをundetectablyに変更させるかもしれないことに注意してください。 これのために、安全に中のそのOptが導入する第一の違いは中のOpt NSEC記録の長さの中で不安定な代表団の存在か非実在を立証する能力の損失です。
Arends, et al. Experimental [Page 11] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[11ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
In particular, this means that a malicious entity may be able to insert or delete records with unsigned names. These records are normally NS records, but this also includes signed wildcard expansions (while the wildcard record itself is signed, its expanded name is an unsigned name), which can be undetectably removed or used to replace an existing unsigned delegation.
特に、これは、悪意がある実体が無記名の名前で記録を挿入するか、または削除できるかもしれないことを意味します。 これらの記録は通常NS記録ですが、また、これはサインされたワイルドカード拡大(ワイルドカード記録自体はサインされますが、拡張名前は無記名の名前である)を含んでいます。(既存の無記名の代表団に取って代わるのにundetectablyに取り除くか、または拡大を使用できます)。
For example, if a resolver received the following response from the example zone above:
レゾルバが例えば上の例のゾーンから以下の応答を受けたなら:
Example S.1: Response to query for WWW.DOES-NOT-EXIST.EXAMPLE. A
例のS.1: WWW.DOES NOT EXIST.EXAMPLEのために質問する応答。 A
RCODE=NOERROR
RCODE=NOERROR
Answer Section:
セクションに答えてください:
Authority Section:
DOES-NOT-EXIST.EXAMPLE. NS NS.FORGED.
EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. SOA NS \
RRSIG DNSKEY
EXAMPLE. RRSIG NSEC ...
権威部: どんなEXIST.EXAMPLEもしていません。 ナノ秒NS.FORGED。 例。 最初に、nsec SECURE.EXAMPLE。 SOAナノ秒、\RRSIG DNSKEYの例。 RRSIG nsec…
Additional Section:
追加セクション:
Attacker has forged a name
攻撃者は名前を作り出しました。
The resolver would have no choice but to believe that the referral to NS.FORGED. is valid. If a wildcard existed that would have been expanded to cover "WWW.DOES-NOT-EXIST.EXAMPLE.", an attacker could have undetectably removed it and replaced it with the forged delegation.
レゾルバが、それが紹介であるとNS.FORGEDに信じざるを得ないだろう、有効です。 ワイルドカードが存在したならそれが「WWW.DOES NOT EXIST.EXAMPLE」を覆うために広げられただろう、攻撃者は、undetectablyにそれを移して、それを偽造代表団に取り替えたかもしれません。
Note that being able to add a delegation is functionally equivalent to being able to add any record type: an attacker merely has to forge a delegation to the nameserver under his/her control and place whatever records are needed at the subzone apex.
代表団を加えることができるのがどんなレコード種類も加えることができるのに機能上同等であることに注意してください: 攻撃者は、単にその人のコントロールの下におけるネームサーバに代表団を鍛造して、必要であるどんな記録も「副-ゾーン」の頂点にみなさなければなりません。
While in particular cases, this issue may not present a significant security problem, in general it should not be lightly dismissed. Therefore, it is strongly RECOMMENDED that Opt-In be used sparingly. In particular, zone signing tools SHOULD NOT default to Opt-In, and MAY choose not to support Opt-In at all.
特定の場合では、この問題が重要な警備上の問題を提示していないかもしれない間、一般に、軽くそれを棄却するべきではありません。 したがって、強く、中のOptをあるRECOMMENDEDが節約して使ったということです。 特に、ゾーン調印ツールSHOULD NOTは中のOptをデフォルトとします、そして、全く中のOptを支持しないのを選ぶかもしれません。
Arends, et al. Experimental [Page 12] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[12ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
9. Acknowledgments
9. 承認
The contributions, suggestions, and remarks of the following persons (in alphabetic order) to this document are acknowledged:
(アルファベット順に)このドキュメントへの以下の人々の貢献、提案、および所見は承諾されます:
Mats Kolkman, Edward Lewis, Ted Lindgreen, Rip Loomis, Bill
Manning, Dan Massey, Scott Rose, Mike Schiraldi, Jakob Schlyter,
Brian Wellington.
マッツKolkman(エドワード・ルイス、テッドLindgreen)はルーミス、ビル・マニング、ダン・マッシー、スコット・ローズ、マイクSchiraldi、ジェイコブSchlyter、ブライアン・ウェリントンを裂きます。
10. References
10. 参照
10.1. Normative References
10.1. 引用規格
[1] Mockapetris, P., "Domain names - implementation and
specification", STD 13, RFC 1035, November 1987.
[1]Mockapetris、P.、「ドメイン名--、実現と仕様、」、STD13、RFC1035、11月1987日
[2] Bradner, S., "Key words for use in RFCs to Indicate Requirement
Levels", BCP 14, RFC 2119, March 1997.
[2] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[3] Wellington, B. and O. Gudmundsson, "Redefinition of DNS
Authenticated Data (AD) bit", RFC 3655, November 2003.
[3] ウェリントンとB.とO.グドムンソン、「DNS Authenticated Data(AD)のRedefinitionは噛み付いた」RFC3655、2003年11月。
[4] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
"DNS Security Introduction and Requirements", RFC 4033,
March 2005.
[4]はArendsします、R.、Austein、R.、ラーソン、M.、マッシー、D.、S.ローズと、「DNSセキュリティ序論と要件」(RFC4033)は2005を行進させます。
[5] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
"Resource Records for the DNS Security Extensions", RFC 4034,
March 2005.
[5] Arends、R.、Austein、R.、ラーソン、M.、マッシー、D.、およびS.が上昇したと「リソースはDNSセキュリティ拡張子のために記録します」、RFC4034、2005年3月。
[6] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
"Protocol Modifications for the DNS Security Extensions",
RFC 4035, March 2005.
[6] Arends(R.、Austein、R.、ラーソン、M.、マッシー、D.、およびS.ローズ)は「DNSセキュリティ拡張子のための変更について議定書の中で述べます」、RFC4035、2005年3月。
[7] Blacka, D., "DNSSEC Experiments", RFC 4955, July 2007.
[7]Blacka、D.、「DNSSEC実験」、RFC4955、2007年7月。
10.2. Informative References
10.2. 有益な参照
[8] Elz, R. and R. Bush, "Clarifications to the DNS Specification",
RFC 2181, July 1997.
[8]ElzとR.とR.ブッシュ、「DNS仕様への明確化」、RFC2181、1997年7月。
[9] Wellington, B., "Secure Domain Name System (DNS) Dynamic
Update", RFC 3007, November 2000.
[9] ウェリントン、2000年11月、B.、「安全なドメインネームシステム(DNS)ダイナミック・アップデート」RFC3007。
[10] Lewis, E., "DNS Security Extension Clarification on Zone
Status", RFC 3090, March 2001.
[10] ルイス、E.、「ゾーン状態におけるDNSセキュリティ拡大明確化」、RFC3090、2001年3月。
Arends, et al. Experimental [Page 13] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[13ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
[11] Conrad, D., "Indicating Resolver Support of DNSSEC", RFC 3225,
December 2001.
[11] コンラッド、D.、「DNSSECのレゾルバサポートを示します」、RFC3225、2001年12月。
[12] Atkins, D. and R. Austein, "Threat Analysis of the Domain Name
System (DNS)", RFC 3833, August 2004.
[12] アトキンスとD.とR.Austein、「ドメインネームシステム(DNS)の脅威分析」、RFC3833、2004年8月。
Arends, et al. Experimental [Page 14] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[14ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
Appendix A. Implementing Opt-In Using "Views"
「視点」を使用することでオプトインを実行する付録A.
In many cases, it may be convenient to implement an Opt-In zone by combining two separately maintained "views" of a zone at request time. In this context, "view" refers to a particular version of a zone, not to any specific DNS implementation feature.
多くの場合、要求時にゾーンの2別々に維持された「視点」を結合することによって中のOptゾーンを実行するのは便利であるかもしれません。 このような関係においては、「視点」はどんな特定のDNS実現機能ではなく、ゾーンの特定のバージョンも示します。
In this scenario, one view is the secure view, the other is the insecure (or legacy) view. The secure view consists of an entirely signed zone using Opt-In tagged NSEC records. The insecure view contains no DNSSEC information. It is helpful, although not necessary, for the secure view to be a subset (minus DNSSEC records) of the insecure view.
1つの視点がこのシナリオでは、安全な視点である、もう片方が不安定な(または、遺産)視点です。 安全な視点は中のOptのタグ付けをされたNSEC記録を使用する完全にサインされたゾーンから成ります。 不安定な視点はDNSSEC情報を全く含んでいません。 必要ではありませんが、それは、安全な視点が不安定な視点の部分集合(マイナスDNSSEC記録)であるために役立っています。
In addition, the only RRsets that may solely exist in the insecure view are non-zone-apex NS RRsets. That is, all non-NS RRsets (and the zone apex NS RRset) MUST be signed and in the secure view.
さらに、不安定な視点で唯一存在するかもしれない唯一のRRsetsが非ゾーンの頂点NS RRsetsです。 サインされて安全な視点にはすなわちすべての非NS RRsets(そして、ゾーンの頂点NS RRset)があるに違いありません。
These two views may be combined at request time to provide a virtual, single Opt-In zone. The following algorithm is used when responding to each query:
これらの2つの視点が仮想の、そして、ただ一つの中のOptゾーンを提供する要求時に結合されるかもしれません。 各質問に応じるとき、以下のアルゴリズムは使用されています:
V_A is the secure view as described above.
Vは上で説明されるように安全な視点です。
V_B is the insecure view as described above.
V_Bは上で説明されるように不安定な視点です。
R_A is a response generated from V_A, following standard DNSSEC.
Rは標準のDNSSECに続いて、Vから発生する応答です。
R_B is a response generated from V_B, following DNS resolution as
per RFC 1035 [1].
R_BはRFC1035[1]に従ってDNS解決に続いて、V_Bから発生する応答です。
R_C is the response generated by combining R_A with R_B, as
described below.
R_Cは以下で説明されるようにR_BにRを結合することによって発生する応答です。
A query is DNSSEC-aware if it either has the DO bit [11] turned on
or is for a DNSSEC-specific record type.
質問がDNSSECそれがそうするかどうかを意識している、つけられたビット[11]をするか、またはDNSSEC特有のレコード種類のためにあります。
1. If V_A is a subset of V_B and the query is not DNSSEC-aware,
generate and return R_B, otherwise
1. 発生して、そうでなければ、VがV_Bの部分集合であり、質問がDNSSEC意識していないなら、R_Bを返してください。
2. Generate R_A.
2. Rを発生させてください。
3. If R_A's RCODE != NXDOMAIN, return R_A, otherwise
3. NXDOMAINと等しく、そうでなければ、RのRCODE!がRを返すなら
Arends, et al. Experimental [Page 15] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[15ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
4. Generate R_B and combine it with R_A to form R_C:
4. R_Bを発生させてください、そして、それをRに結合して、R_Cを形成してください:
For each section (ANSWER, AUTHORITY, ADDITIONAL), copy the
records from R_A into R_B, EXCEPT the AUTHORITY section SOA
record, if R_B's RCODE = NOERROR.
各セクション(ANSWER、AUTHORITY、ADDITIONAL)のために、AUTHORITYセクションSOA記録を除いて、R_BにRからの記録をコピーしてください、R_ビーズRCODEがNOERRORと等しいなら。
5. Return R_C.
5. R_Cを返してください。
Authors' Addresses
作者のアドレス
Roy Arends Nominet Sandford Gate Sandy Lane West Oxford OX4 6LB UNITED KINGDOM
ロイ・Arends Nominet Sandfordゲートサンディ・レーンの西オックスフォードOX4 6LBイギリス
Phone: +44 1865 332211 EMail: roy@nominet.org.uk
以下に電話をしてください。 +44 1865 332211はメールされます: roy@nominet.org.uk
Mark Kosters VeriSign, Inc. 21355 Ridgetop Circle Dulles, VA 20166 US
KostersベリサインInc.21355屋根の頂円のダレス、ヴァージニア 20166が米国であるとマークしてください。
Phone: +1 703 948 3200 EMail: mkosters@verisign.com URI: http://www.verisignlabs.com
以下に電話をしてください。 +1 3200年の703 948メール: mkosters@verisign.com ユリ: http://www.verisignlabs.com
David Blacka VeriSign, Inc. 21355 Ridgetop Circle Dulles, VA 20166 US
デヴィッドBlackaベリサインInc.21355屋根の頂円のヴァージニア20166ダレス(米国)
Phone: +1 703 948 3200 EMail: davidb@verisign.com URI: http://www.verisignlabs.com
以下に電話をしてください。 +1 3200年の703 948メール: davidb@verisign.com ユリ: http://www.verisignlabs.com
Arends, et al. Experimental [Page 16] RFC 4956 DNS Security (DNSSEC) Opt-In July 2007
Arends、他 実験的な[16ページ]RFC4956DNSセキュリティ(DNSSEC)オプトイン2007年7月
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The IETF Trust (2007).
IETFが信じる著作権(C)(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれた情報はその人が代理をするか、または(もしあれば)後援される組織、インターネットの振興発展を目的とする組織、「そのままで」という基礎と貢献者の上で提供していて、IETFはそして、インターネット・エンジニアリング・タスク・フォースがすべての保証を放棄すると信じます、急行である、または暗示していて、他を含んでいて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるということであるかいずれが市場性か特定目的への適合性の黙示的な保証です。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実現に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するためのどんな独立している努力もしました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実行するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を記述してください。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Arends, et al. Experimental [Page 17]
Arends、他 実験的[17ページ]
一覧
スポンサーリンク
