[要約] RFC 3658は、Delegation Signer (DS) Resource Record (RR)の仕様を定義しています。この仕様の目的は、DNSSECにおけるデータの信頼性とセキュリティを向上させるために、データ署名のための鍵情報を提供することです。

Network Working Group                                     O. Gudmundsson
Request for Comments: 3658                                 December 2003
Updates: 3090, 3008, 2535, 1035
Category: Standards Track
        

Delegation Signer (DS) Resource Record (RR)

代表団署名者(DS)リソースレコード(RR)

Status of this Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2003). All Rights Reserved.

Copyright(c)The Internet Society(2003)。無断転載を禁じます。

Abstract

概要

The delegation signer (DS) resource record (RR) is inserted at a zone cut (i.e., a delegation point) to indicate that the delegated zone is digitally signed and that the delegated zone recognizes the indicated key as a valid zone key for the delegated zone. The DS RR is a modification to the DNS Security Extensions definition, motivated by operational considerations. The intent is to use this resource record as an explicit statement about the delegation, rather than relying on inference.

委任署名者(DS)リソースレコード(RR)は、ゾーンカット(つまり、委任ポイント)に挿入され、委任されたゾーンがデジタル署名されており、委任されたゾーンが示されたキーが委任された委任の有効なゾーンキーとして認識されていることを示します。ゾーン。DS RRは、運用上の考慮事項に動機付けられたDNSセキュリティ拡張機能定義の変更です。目的は、このリソースレコードを、推論に依存するのではなく、委任に関する明示的な声明として使用することです。

This document defines the DS RR, gives examples of how it is used and describes the implications on resolvers. This change is not backwards compatible with RFC 2535. This document updates RFC 1035, RFC 2535, RFC 3008 and RFC 3090.

このドキュメントはDS RRを定義し、それがどのように使用されるかの例を示し、リゾルバーへの影響を説明します。この変更は、RFC 2535との逆方向に互換性がありません。このドキュメントは、RFC 1035、RFC 2535、RFC 3008、およびRFC 3090を更新します。

Table of Contents

目次

   1.  Introduction. . . . . . . . . . . . . . . . . . . . . . . . .   3
       1.2.  Reserved Words. . . . . . . . . . . . . . . . . . . . .   4
   2.  Specification of the Delegation key Signer. . . . . . . . . .   4
       2.1.  Delegation Signer Record Model. . . . . . . . . . . . .   4
       2.2.  Protocol Change . . . . . . . . . . . . . . . . . . . .   5
             2.2.1.  RFC 2535 2.3.4 and 3.4: Special Considerations
                     at Delegation Points  . . . . . . . . . . . . .   6
                     2.2.1.1. Special processing for DS queries. . .   6
                     2.2.1.2. Special processing when child and an
                              ancestor share nameserver. . . . . . .   7
                     2.2.1.3. Modification on use of KEY RR in the
                              construction of Responses. . . . . . .   8
             2.2.2.  Signer's Name (replaces RFC3008 section 2.7). .   9
             2.2.3.  Changes to RFC 3090 . . . . . . . . . . . . . .   9
                     2.2.3.1. RFC 3090: Updates to section 1:
                              Introduction . . . . . . . . . . . . .   9
                     2.2.3.2. RFC 3090 section 2.1: Globally
                              Secured. . . . . . . . . . . . . . . .  10
                     2.2.3.3. RFC 3090 section 3: Experimental
                              Status . . . . . . . . . . . . . . . .  10
             2.2.4.  NULL KEY elimination. . . . . . . . . . . . . .  10
       2.3.  Comments on Protocol Changes. . . . . . . . . . . . . .  10
       2.4.  Wire Format of the DS record. . . . . . . . . . . . . .  11
             2.4.1.  Justifications for Fields . . . . . . . . . . .  12
       2.5.  Presentation Format of the DS Record. . . . . . . . . .  12
       2.6.  Transition Issues for Installed Base. . . . . . . . . .  12
             2.6.1.  Backwards compatibility with RFC 2535 and
                     RFC 1035. . . . . . . . . . . . . . . . . . . .  12
       2.7.  KEY and corresponding DS record example . . . . . . . .  13
   3.  Resolver. . . . . . . . . . . . . . . . . . . . . . . . . . .  14
       3.1.  DS Example" . . . . . . . . . . . . . . . . . . . . . .  14
       3.2.  Resolver Cost Estimates for DS Records" . . . . . . . .  15
   4.  Security Considerations . . . . . . . . . . . . . . . . . . .  15
   5.  IANA Considerations . . . . . . . . . . . . . . . . . . . . .  16
   6.  Intellectual Property Statement . . . . . . . . . . . . . . .  16
   7.  Acknowledgments . . . . . . . . . . . . . . . . . . . . . . .  17
   8.  References. . . . . . . . . . . . . . . . . . . . . . . . . .  17
       8.1.  Normative References. . . . . . . . . . . . . . . . . .  17
       8.2.  Informational References. . . . . . . . . . . . . . . .  17
   9.  Author's Address. . . . . . . . . . . . . . . . . . . . . . .  18
   10. Full Copyright Statement. . . . . . . . . . . . . . . . . . .  19
        
1. Introduction
1. はじめに

Familiarity with the DNS system [RFC1035], DNS security extensions [RFC2535], and DNSSEC terminology [RFC3090] is important.

DNSシステム[RFC1035]、DNSセキュリティ拡張[RFC2535]、およびDNSSEC用語[RFC3090]に精通することが重要です。

Experience shows that when the same data can reside in two administratively different DNS zones, the data frequently gets out of sync. The presence of an NS RRset in a zone anywhere other than at the apex indicates a zone cut or delegation. The RDATA of the NS RRset specifies the authoritative nameservers for the delegated or "child" zone. Based on actual measurements, 10-30% of all delegations on the Internet have differing NS RRsets at parent and child. There are a number of reasons for this, including a lack of communication between parent and child and bogus name servers being listed to meet registry requirements.

経験によると、同じデータが2つの管理上異なるDNSゾーンに存在する場合、データは頻繁に同期されなくなります。頂点以外のゾーン内にNS RRSTが存在することは、ゾーンカットまたは委任を示しています。NS RRSTのRDATAは、委任または「子」ゾーンの権威ある名前サーバーを指定します。実際の測定に基づいて、インターネット上のすべての代表団の10〜30%は、親と子のns rrsetが異なります。これには、レジストリの要件を満たすためにリストされている親と子の名前と偽の名前の間の通信の欠如など、多くの理由があります。

DNSSEC [RFC2535, RFC3008, RFC3090] specifies that a child zone needs to have its KEY RRset signed by its parent to create a verifiable chain of KEYs. There has been some debate on where the signed KEY RRset should reside, whether at the child [RFC2535] or at the parent. If the KEY RRset resides at the child, maintaining the signed KEY RRset in the child requires frequent two-way communication between the two parties. First, the child transmits the KEY RRset to the parent and then the parent sends the signature(s) to the child. Storing the KEY RRset at the parent was thought to simplify the communication.

DNSSEC [RFC2535、RFC3008、RFC3090]は、子ゾーンに、キーのRRSEが親によって署名されて、検証可能なキーチェーンを作成する必要があることを指定しています。子[RFC2535]であろうと親であろうと、署名されたキーRRSetがどこに存在するのかについて、いくつかの議論がありました。キーRRSETが子供に存在する場合、子供の署名されたキーRRSETを維持するには、2つの当事者間の頻繁な双方向通信が必要です。最初に、子供はキーRRSEを親に送信し、その後、親は署名を子供に送ります。親に重要なRRSetを保存することは、コミュニケーションを簡素化するために考えられていました。

DNSSEC [RFC2535] requires that the parent store a NULL KEY record for an unsecure child zone to indicate that the child is unsecure. A NULL KEY record is a waste: an entire signed RRset is used to communicate effectively one bit of information - that the child is unsecure. Chasing down NULL KEY RRsets complicates the resolution process in many cases, because nameservers for both parent and child need to be queried for the KEY RRset if the child nameserver does not return it. Storing the KEY RRset only in the parent zone simplifies this and would allow the elimination of the NULL KEY RRsets entirely. For large delegation zones, the cost of NULL keys is a significant barrier to deployment.

DNSSEC [RFC2535]では、子供が不安定であることを示すために、親が不安定な子ゾーンのヌルキー記録を保存することが必要です。ヌルキーレコードは無駄です。署名されたRRSET全体が使用されて、子供が安全でないという1つの情報を効果的に通信します。nullキーrrsetsを追いかけると、多くの場合、解像度プロセスが複雑になります。これは、親と子の両方の名前サーバーをキーRRSetに照会する必要があるためです。キーRRSETを親ゾーンにのみ保存すると、これが簡素化され、nullキーrrsetsを完全に排除できます。大規模な委任地域の場合、ヌルキーのコストは展開に対する重要な障壁です。

Prior to the restrictions imposed by RFC 3445 [RFC3445], another implication of the DNSSEC key model is that the KEY record could be used to store public keys for other protocols in addition to DNSSEC keys. There are a number of potential problems with this, including:

RFC 3445 [RFC3445]によって課される制限の前に、DNSSECキーモデルのもう1つの意味は、キーレコードを使用して、DNSSECキーに加えて他のプロトコルのパブリックキーを保存できることです。これには、次のことを含む多くの潜在的な問題があります。

1. The KEY RRset can become quite large if many applications and protocols store their keys at the zone apex. Possible protocols are IPSEC, HTTP, SMTP, SSH and others that use public key cryptography.

1. 多くのアプリケーションとプロトコルがキーをゾーンアペックスに保存すると、キーRRSTは非常に大きくなる可能性があります。考えられるプロトコルは、IPSEC、HTTP、SMTP、SSHなどの公開キー暗号化を使用するその他です。

2. The KEY RRset may require frequent updates.

2. キーRRSetには頻繁な更新が必要になる場合があります。

3. The probability of compromised or lost keys, which trigger emergency key roll-over procedures, increases.

3. 緊急キーロールオーバー手順をトリガーする妥協または失われたキーの確率が増加します。

4. The parent may refuse to sign KEY RRsets with non-DNSSEC zone keys.

4. 親は、非DNSSECゾーンキーでキーrrsetsに署名することを拒否する場合があります。

5. The parent may not meet the child's expectations of turnaround time for resigning the KEY RRset.

5. 親は、重要なRRSetを辞任するためのターンアラウンドタイムという子供の期待を満たしていない場合があります。

Given these reasons, SIG@parent isn't any better than SIG/KEY@Child.

これらの理由を考えると、sig@parentはsig/key@childよりも優れていません。

1.2. Reserved Words
1.2. 予約された言葉

The key words "MAY", "MAY NOT", "MUST", "MUST NOT", "REQUIRED", "RECOMMENDED", "SHOULD", and "SHOULD NOT" in this document are to be interpreted as described in BCP 14, RFC 2119 [RFC2119].

キーワード「可能性はありません」、「そうでない」、「必須」、「必須」、「必須」、「推奨」、「必要」、「必要」は、このドキュメントの「BCP 14で説明されているように解釈されるべきではありません。、RFC 2119 [RFC2119]。

2. Specification of the Delegation key Signer
2. 代表団のキー署名者の仕様

This section defines the Delegation Signer (DS) RR type (type code 43) and the changes to DNS to accommodate it.

このセクションでは、代表団の署名者(DS)RRタイプ(タイプコード43)とDNSの変更を定義して、それに対応します。

2.1. Delegation Signer Record Model
2.1. 委任署名者レコードモデル

This document presents a replacement for the DNSSEC KEY record chain of trust [RFC2535] that uses a new RR that resides only at the parent. This record identifies the key(s) that the child uses to self-sign its own KEY RRset.

このドキュメントは、親にのみ存在する新しいRRを使用するDNSSECキーレコードチェーン[RFC2535]の代替品を提示します。このレコードは、子供が使用するキーを識別し、独自のキーRRSetを自己署名します。

Even though DS identifies two roles for KEYs, Key Signing Key (KSK) and Zone Signing Key (ZSK), there is no requirement that zone uses two different keys for these roles. It is expected that many small zones will only use one key, while larger zones will be more likely to use multiple keys.

DSはキーの2つの役割、キー署名キー(KSK)とゾーン署名キー(ZSK)を特定していますが、ゾーンがこれらのロールに2つの異なるキーを使用するという要件はありません。多くの小さなゾーンは1つのキーのみを使用することが予想されますが、大きなゾーンは複数のキーを使用する可能性が高くなります。

The chain of trust is now established by verifying the parent KEY RRset, the DS RRset from the parent and the KEY RRset at the child. This is cryptographically equivalent to using just KEY records.

Chain of Trustは、親キーRRSet、親からのDS RRSet、および子供のキーRRSetを確認することにより確立されています。これは、キーレコードのみを使用することと暗号化的に同等です。

Communication between the parent and child is greatly reduced, since the child only needs to notify the parent about changes in keys that sign its apex KEY RRset. The parent is ignorant of all other keys in the child's apex KEY RRset. Furthermore, the child maintains full control over the apex KEY RRset and its content. The child can maintain any policies regarding its KEY usage for DNSSEC with minimal impact on the parent. Thus, if the child wants to have frequent key roll-over for its DNS zone keys, the parent does not need to be aware of it. The child can use one key to sign only its apex KEY RRset and a different key to sign the other RRsets in the zone.

子供は、ApexキーRRSetに署名するキーの変化について親に通知するだけであるため、親と子の間のコミュニケーションが大幅に減少します。親は、子供の頂点キーRRSetの他のすべてのキーについて無知です。さらに、子供はApexキーRRSetとその内容を完全に制御します。子供は、親への影響を最小限に抑えて、DNSSECの重要な使用法に関するポリシーを維持できます。したがって、子供がDNSゾーンキーのキーロールオーバーを頻繁に使用したい場合、親はそれを認識する必要はありません。子供は、1つのキーを使用して、ApexキーRRSetと別のキーのみに署名して、ゾーン内の他のRRSetsに署名することができます。

This model fits well with a slow roll out of DNSSEC and the islands of security model. In this model, someone who trusts "good.example." can preconfigure a key from "good.example." as a trusted key, and from then on trusts any data signed by that key or that has a chain of trust to that key. If "example." starts advertising DS records, "good.example." does not have to change operations by suspending self-signing. DS records can be used in configuration files to identify trusted keys instead of KEY records. Another significant advantage is that the amount of information stored in large delegation zones is reduced: rather than the NULL KEY record at every unsecure delegation demanded by RFC 2535, only secure delegations require additional information in the form of a signed DS RRset.

このモデルは、DNSSECとセキュリティモデル島のゆっくりとしたロールアウトによく合います。このモデルでは、「Good.example」を信頼する人。「good.example」のキーを事前に設定できます。信頼できるキーとして、そしてそれ以降、そのキーによって署名されたデータまたはそのキーに対する信頼の連鎖を持っています。「例」の場合。DSレコードの広告「Good.example」を開始します。自己署名を一時停止して操作を変更する必要はありません。DSレコードを構成ファイルで使用して、キーレコードの代わりに信頼できるキーを識別できます。もう1つの重要な利点は、大規模な委任ゾーンに保存されている情報の量が削減されることです。RFC2535が要求するすべての安全な代表団でのヌルキーレコードではなく、安全な委任のみが署名されたDS RRSetの形で追加情報を必要とします。

The main disadvantage of this approach is that verifying a zone's KEY RRset requires two signature verification operations instead of the one in RFC 2535 chain of trust. There is no impact on the number of signatures verified for other types of RRsets.

このアプローチの主な欠点は、ゾーンのキーRRSETを検証するには、RFC 2535の信頼チェーンの代わりに2つの署名検証操作が必要であることです。他のタイプのrrsetについて確認された署名の数に影響はありません。

2.2. Protocol Change
2.2. プロトコルの変更

All DNS servers and resolvers that support DS MUST support the OK bit [RFC3225] and a larger message size [RFC3226]. In order for a delegation to be considered secure the delegation MUST contain a DS RRset. If a query contains the OK bit, a nameserver returning a referral for the delegation MUST include the following RRsets in the authority section in this order:

DSをサポートするすべてのDNSサーバーとリゾルバーは、OKビット[RFC3225]とより大きなメッセージサイズ[RFC3226]をサポートする必要があります。代表団が安全であると見なされるためには、委任にはDS RRSetが含まれている必要があります。クエリにOKビットが含まれている場合、代表団の紹介を返す名前サーバーは、この順序で当局セクションに次のrrsetを含める必要があります。

If DS RRset is present: parent's copy of child's NS RRset DS and SIG(DS)

DS rrsetが存在する場合:子供のns rrset dsおよびsig(ds)の親のコピー

If no DS RRset is present: parent's copy of child's NS RRset parent's zone NXT and SIG(NXT)

DS rrsetが存在しない場合:子供のns rrsetゾーンNXTおよびSIG(NXT)の親のコピー

This increases the size of referral messages, possibly causing some or all glue to be omitted. If the DS or NXT RRsets with signatures do not fit in the DNS message, the TC bit MUST be set. Additional section processing is not changed.

これにより、紹介メッセージのサイズが増加し、おそらく一部またはすべての接着剤が省略されます。署名付きのDSまたはNXT RRSetsがDNSメッセージに適合しない場合、TCビットを設定する必要があります。追加のセクション処理は変更されていません。

A DS RRset accompanying a NS RRset indicates that the child zone is secure. If a NS RRset exists without a DS RRset, the child zone is unsecure (from the parents point of view). DS RRsets MUST NOT appear at non-delegation points or at a zone's apex.

NS RRSTに付随するDS RRSTは、子ゾーンが安全であることを示します。DS RRSetなしでNS RRSETが存在する場合、子ゾーンは(親の観点から)安全ではありません。DS rrsetsは、非解任ポイントまたはゾーンの頂点に表示されてはなりません。

Section 2.2.1 defines special considerations related to authoritative nameservers responding to DS queries and replaces RFC 2535 sections 2.3.4 and 3.4. Section 2.2.2 replaces RFC 3008 section 2.7, and section 2.2.3 updates RFC 3090.

セクション2.2.1は、DSクエリに応答する権威ある名前アーバーに関連する特別な考慮事項を定義し、RFC 2535セクション2.3.4および3.4を置き換えます。セクション2.2.2では、RFC 3008セクション2.7を置き換え、セクション2.2.3はRFC 3090を更新します。

2.2.1. RFC 2535 2.3.4 and 3.4: Special Considerations at Delegation Points
2.2.1. RFC 2535 2.3.4および3.4:委任ポイントでの特別な考慮事項

DNS security views each zone as a unit of data completely under the control of the zone owner with each entry (RRset) signed by a special private key held by the zone manager. But the DNS protocol views the leaf nodes in a zone that are also the apex nodes of a child zone (i.e., delegation points) as "really" belonging to the child zone. The corresponding domain names appear in two master files and might have RRsets signed by both the parent and child zones' keys. A retrieval could get a mixture of these RRsets and SIGs, especially since one nameserver could be serving both the zone above and below a delegation point [RFC2181].

DNSセキュリティは、各ゾーンをゾーンマネージャーが保持している特別な秘密鍵によって署名された各エントリ(RRSET)を使用して、ゾーン所有者の所有者の制御下にあるデータのユニットとして表示されます。しかし、DNSプロトコルは、子ゾーン(つまり、委任ポイント)の頂点ノードでもあるゾーン内の葉のノードを、子ゾーンに属する「本当に」と見なしています。対応するドメイン名は2つのマスターファイルに表示され、親ゾーンとチャイルドゾーンの両方のキーによってrrsetが署名されている場合があります。特に、1つの名前サーバーが委任ポイントの上と下のゾーンの両方を提供できるため、検索はこれらのrrsetとsigの混合物を取得する可能性があります[RFC2181]。

Each DS RRset stored in the parent zone MUST be signed by at least one of the parent zone's private keys. The parent zone MUST NOT contain a KEY RRset at any delegation point. Delegations in the parent MAY contain only the following RR types: NS, DS, NXT and SIG. The NS RRset MUST NOT be signed. The NXT RRset is the exceptional case: it will always appear differently and authoritatively in both the parent and child zones, if both are secure.

親ゾーンに保存されている各DS RRSetは、親ゾーンのプライベートキーの少なくとも1つによって署名する必要があります。親ゾーンには、任意の委任ポイントにキーRRSetを含めてはなりません。親の代表団には、NS、DS、NXT、およびSIGの次のRRタイプのみが含まれている場合があります。NS RRSetに署名してはなりません。NXT RRSTは例外的なケースです。両者が安全であれば、親と子の両方のゾーンで常に異なって表示され、信頼できるようになります。

A secure zone MUST contain a self-signed KEY RRset at its apex. Upon verifying the DS RRset from the parent, a resolver MAY trust any KEY identified in the DS RRset as a valid signer of the child's apex KEY RRset. Resolvers configured to trust one of the keys signing the KEY RRset MAY now treat any data signed by the zone keys in the KEY RRset as secure. In all other cases, resolvers MUST consider the zone unsecure.

安全なゾーンには、頂点に自己署名キーRRSetを含める必要があります。親からDS RRSTを検証すると、リゾルバーは、DS RRSetで特定されたキーを、子供のApexキーRRSETの有効な署名者として信頼する場合があります。キーRRSetに署名するキーの1つを信頼するように構成されたリゾルバーは、キーRRSetのゾーンキーによって署名されたデータを安全に扱うことができます。他のすべての場合において、リゾルバーはゾーンが安全でないと考える必要があります。

An authoritative nameserver queried for type DS MUST return the DS RRset in the answer section.

タイプDSにクエリされた権威ある名前サーバーは、回答セクションのDS RRSetを返す必要があります。

2.2.1.1. Special processing for DS queries
2.2.1.1. DSクエリの特別な処理

When a nameserver is authoritative for the parent zone at a delegation point and receives a query for the DS record at that name, it MUST answer based on data in the parent zone, return DS or negative answer. This is true whether or not it is also authoritative for the child zone.

名前サーバーが代表団の親ゾーンの権威ある場合、その名前でDSレコードのクエリを受け取る場合、親ゾーンのデータ、DSを返す、または否定的な回答に基づいて回答する必要があります。これは、子ゾーンの権威があるかどうかにかかわらず事実です。

When the nameserver is authoritative for the child zone at a delegation point but not the parent zone, there is no natural response, since the child zone is not authoritative for the DS record at the zone's apex. As these queries are only expected to originate from recursive nameservers which are not DS-aware, the authoritative nameserver MUST answer with:

名前販売者が親ゾーンではなく、委任地点で子ゾーンの権威ある場合、チャイルドゾーンはゾーンの頂点でのDSレコードの権威がないため、自然な反応はありません。これらのクエリは、DSに認識されていない再帰的な名前サーバーからのみ発生すると予想されるため、権威ある名前サーバーは以下に答えなければなりません。

      RCODE:             NOERROR
      AA bit:            set
      Answer Section:    Empty
      Authority Section: SOA [+ SIG(SOA) + NXT + SIG(NXT)]
        

That is, it answers as if it is authoritative and the DS record does not exist. DS-aware recursive nameservers will query the parent zone at delegation points, so will not be affected by this.

つまり、それは権威あるものであるかのように答え、DSレコードは存在しません。DS-Awareの再帰的な名前サーバーは、委任ポイントの親ゾーンを照会するため、これによって影響を受けることはありません。

A nameserver authoritative for only the child zone, that is also a caching server MAY (if the RD bit is set in the query) perform recursion to find the DS record at the delegation point, or MAY return the DS record from its cache. In this case, the AA bit MUST NOT be set in the response.

子どもゾーンのみの名前サーバーは、キャッシュサーバーである(rdビットがクエリに設定されている場合)再帰を実行して、委任ポイントでDSレコードを見つけるか、キャッシュからDSレコードを返すことができます。この場合、AAビットを応答に設定してはなりません。

2.2.1.2. Special processing when child and an ancestor share nameserver
2.2.1.2. 子供と祖先が名前を共有するときの特別な処理

Special rules are needed to permit DS RR aware nameservers to gracefully interact with older caches which otherwise might falsely label a nameserver as lame because of the placement of the DS RR set.

DS RR認識の名前サーバーが、DS RRセットの配置のために名前サーバーを不自由なものとして誤ってラベル付けする可能性のある古いキャッシュと優雅にやり取りできるようにするには、特別なルールが必要です。

Such a situation might arise when a nameserver is authoritative for both a zone and it's grandparent, but not the parent. This sounds like an obscure example, but it is very real. The root zone is currently served on 13 machines, and "root-servers.net." is served on 4 of the 13, but "net." is severed on different nameservers.

このような状況は、名前サーバーがゾーンと祖父母の両方で権威あるが親ではない場合に発生する可能性があります。これはあいまいな例のように聞こえますが、非常に現実的です。ルートゾーンは現在、13台のマシンと「root-servers.net」で提供されています。13のうち4つで提供されますが、「ネット」です。さまざまな名前サーバーで切断されます。

When a nameserver receives a query for (<QNAME>, DS, <QCLASS>), the response MUST be determined from reading these rules in order:

名前サーバーが(<qname>、ds、<qclass>)のクエリを受信する場合、これらのルールを順番に読むことから応答を決定する必要があります。

1) If the nameserver is authoritative for the zone that holds the DS RR set (i.e., the zone that delegates <QNAME>, a.k.a. the "parent" zone), the response contains the DS RR set as an authoritative answer.

1) 名前サーバーがDS RRセットを保持するゾーンの権威ある場合(つまり、<qname>、別名「親」ゾーンを代表するゾーン)、応答には権威ある回答としてDS RRセットが含まれています。

2) If the nameserver is offering recursive service and the RD bit is set in the query, the nameserver performs the query itself (according to the rules for resolvers described below) and returns its findings.

2) 名前サーバーが再帰サービスを提供しており、RDビットがクエリに設定されている場合、名前サーバーはクエリ自体を実行し(以下に説明するリゾルバーのルールに従って)、調査結果を返します。

3) If the nameserver is authoritative for the zone that holds the <QNAME>'s SOA RR set, the response is an authoritative negative answer as described in 2.2.1.1.

3) 名前サーバーが<QName>のSOA RRセットを保持するゾーンの権威ある場合、2.2.1.1で説明されているように、応答は権威ある否定的な答えです。

4) If the nameserver is authoritative for a zone or zones above the QNAME, a referral to the most enclosing (deepest match) zone's servers is made.

4) 名前サーバーがQNAMEの上のゾーンまたはゾーンに対して権威ある場合、最も囲まれた(最も深い一致)ゾーンのサーバーへの紹介が作成されます。

5) If the nameserver is not authoritative for any part of the QNAME, a response indicating a lame nameserver for QNAME is given.

5) 名前サーバーがQNAMEのどの部分でも権威がない場合、QNameのラメの名前サーバーを示す応答が与えられます。

Using these rules will require some special processing on the part of a DS RR aware resolver. To illustrate this, an example is used.

これらのルールを使用するには、DS RR Aware Resolverの側で特別な処理が必要です。これを説明するために、例が使用されます。

Assuming a nameserver is authoritative for roots.example.net. and for the root zone but not the intervening two zones (or the intervening two label deep zone). Assume that QNAME=roots.example.net., QTYPE=DS, and QCLASS=IN.

名前サーバーがroots.example.netの権威あると仮定します。ルートゾーンの場合は、介在する2つのゾーン(または介在する2つのラベルディープゾーン)ではありません。qname = roots.example.net。、qtype = ds、およびqclass = inと仮定します。

The resolver will issue this request (assuming no cached data) expecting a referral to a nameserver for .net. Instead, rule number 3 above applies and a negative answer is returned by the nameserver. The reaction by the resolver is not to accept this answer as final, as it can determine from the SOA RR in the negative answer the context within which the nameserver has answered.

Resolverは、.NETの名前サーバーへの紹介を期待するこのリクエスト(キャッシュデータがないと仮定)を発行します。代わりに、上記のルール番号3が適用され、名前サーバーによって否定的な答えが返されます。リゾルバーによる反応は、この答えをファイナルとして受け入れることではありません。これは、ネガティブな答えのSOA RRから、名前サーバーが答えたコンテキストを決定できるからです。

A solution would be to instruct the resolver to hunt for the authoritative zone of the data in a brute force manner.

解決策は、Resolverに、Brute Forceの方法でデータの権威あるゾーンを探し出すように指示することです。

This can be accomplished by taking the owner name of the returned SOA RR and striping off enough left-hand labels until a successful NS response is obtained. A successful response here means that the answer has NS records in it. (Entertaining the possibility that a cut point can be two labels down in a zone.)

これは、返されたSOA RRの所有者名を取得し、成功したNS応答が得られるまで十分な左側のラベルを縞模様にすることで実現できます。ここで成功した応答は、答えにNSレコードが含まれていることを意味します。(カットポイントがゾーン内で2つのラベルになる可能性を楽しませます。)

Returning to the example, the response will include a negative answer with either the SOA RR for "roots.example.net." or "example.net." depending on whether roots.example.net is a delegated domain. In either case, removing the left most label of the SOA owner name will lead to the location of the desired data.

例に戻ると、応答には、「roots.example.net」のSOA RRのいずれかの否定的な答えが含まれます。または「embles.net。」roots.example.netが委任されたドメインであるかどうかによって異なります。どちらの場合でも、SOA所有者の名前の左のほとんどのラベルを削除すると、目的のデータの位置につながります。

2.2.1.3. Modification on use of KEY RR in the construction of Responses
2.2.1.3. 応答の構築におけるキーRRの使用に関する変更

This section updates RFC 2535 section 3.5 by replacing it with the following: A query for KEY RR MUST NOT trigger any additional section processing. Security aware resolvers will include corresponding SIG records in the answer section.

このセクションでは、RFC 2535セクション3.5を更新して、以下に置き換えます。キーRRのクエリは、追加のセクション処理をトリガーしてはなりません。セキュリティ認識リゾルバーには、回答セクションに対応するSIGレコードが含まれます。

KEY records SHOULD NOT be added to the additional records section in response to any query.

キーレコードは、クエリに応じて追加のレコードセクションに追加されないでください。

RFC 2535 specified that KEY records be added to the additional section when SOA or NS records were included in an answer. This was done to reduce round trips (in the case of SOA) and to force out NULL KEYs (in the NS case). As this document obsoletes NULL keys, there is no need for the inclusion of KEYs with NSs. Furthermore, as SOAs are included in the authority section of negative answers, including the KEYs each time will cause redundant transfers of KEYs.

RFC 2535は、SOAまたはNSレコードが回答に含まれている場合、キーレコードを追加セクションに追加することを指定しました。これは、往復(SOAの場合)を削減し、ヌルキー(NSの場合)を強制するために行われました。このドキュメントがnullキーを廃止するにつれて、NSSにキーを含める必要はありません。さらに、SOAが否定的な回答の機関セクションに含まれているため、毎回キーを含むキーはキーの冗長な転送を引き起こします。

RFC 2535 section 3.5 also included a rule for adding the KEY RRset to the response for a query for A and AAAA types. As Restrict KEY [RFC3445] eliminated use of KEY RR by all applications, this rule is no longer needed.

RFC 2535セクション3.5には、AおよびAAAAタイプのクエリの応答にキーRRSetを追加するためのルールも含まれています。キー[RFC3445]を制限すると、すべてのアプリケーションによるキーRRの使用が排除されたため、このルールは不要になりました。

2.2.2. Signer's Name (replaces RFC 3008 section 2.7)
2.2.2. 署名者の名前(RFC 3008セクション2.7を置き換えます)

The signer's name field of a SIG RR MUST contain the name of the zone to which the data and signature belong. The combination of signer's name, key tag, and algorithm MUST identify a zone key if the SIG is to be considered material. This document defines a standard policy for DNSSEC validation; local policy MAY override the standard policy.

SIG RRの署名者の名前フィールドには、データと署名が属するゾーンの名前を含める必要があります。SIGが材料と見なされる場合、署名者の名前、キータグ、およびアルゴリズムの組み合わせは、ゾーンキーを識別する必要があります。このドキュメントは、DNSSEC検証の標準ポリシーを定義しています。ローカルポリシーは、標準ポリシーをオーバーライドする場合があります。

There are no restrictions on the signer field of a SIG(0) record. The combination of signer's name, key tag, and algorithm MUST identify a key if this SIG(0) is to be processed.

SIG(0)レコードの署名者フィールドに制限はありません。署名者の名前、キータグ、およびアルゴリズムの組み合わせは、このSIG(0)を処理する場合、キーを識別する必要があります。

2.2.3. Changes to RFC 3090
2.2.3. RFC 3090の変更

A number of sections in RFC 3090 need to be updated to reflect the DS record.

DSレコードを反映するために、RFC 3090の多くのセクションを更新する必要があります。

2.2.3.1. RFC 3090: Updates to section 1: Introduction
2.2.3.1. RFC 3090:セクション1の更新:紹介

Most of the text is still relevant but the words "NULL key" are to be replaced with "missing DS RRset". In section 1.3, the last three paragraphs discuss the confusion in sections of RFC 2535 that are replaced in section 2.2.1 above. Therefore, these paragraphs are now obsolete.

テキストのほとんどは依然として関連していますが、「null key」という言葉は「欠落しているds rrset」に置き換えられます。セクション1.3では、最後の3つの段落では、上記のセクション2.2.1で置き換えられているRFC 2535のセクションの混乱について説明しています。したがって、これらの段落は今や時代遅れです。

2.2.3.2. RFC 3090 section 2.1: Globally Secured
2.2.3.2. RFC 3090セクション2.1:グローバルに保護されています

Rule 2.1.b is replaced by the following rule:

ルール2.1.bは、次のルールに置き換えられます。

2.1.b. The KEY RRset at a zone's apex MUST be self-signed by a private key whose public counterpart MUST appear in a zone signing KEY RR (2.a) owned by the zone's apex and specifying a mandatory-to-implement algorithm. This KEY RR MUST be identified by a DS RR in a signed DS RRset in the parent zone.

2.1.B.ゾーンの頂点でのキーRRSETは、ゾーンの頂点が所有するキーRR(2.A)に署名し、必須のアルゴリズムを指定するゾーン署名キーRR(2.A)に公開されなければならない秘密鍵によって自己署名する必要があります。この重要なRRは、親ゾーンの署名されたDS RRSetでDS RRによって識別される必要があります。

If a zone cannot get its parent to advertise a DS record for it, the child zone cannot be considered globally secured. The only exception to this is the root zone, for which there is no parent zone.

ゾーンが親にDSレコードを宣伝させることができない場合、チャイルドゾーンはグローバルに保護されていると見なすことはできません。これの唯一の例外は、親ゾーンがないルートゾーンです。

2.2.3.3. RFC 3090 section 3: Experimental Status.

2.2.3.3. RFC 3090セクション3:実験ステータス。

The only difference between experimental status and globally secured is the missing DS RRset in the parent zone. All locally secured zones are experimental.

実験ステータスとグローバルに保護されている唯一の違いは、親ゾーンのDS RRSTの欠落です。すべてのローカルセキュリティゾーンは実験的です。

2.2.4. NULL KEY elimination
2.2.4. nullキーエリミネーション

RFC 3445 section 3 eliminates the top two bits in the flags field of KEY RR. These two bits were used to indicate NULL KEY or NO KEY. RFC 3090 defines that zone as either secure or not and these rules eliminate the need to put NULL keys in the zone apex to indicate that the zone is not secured for a algorithm. Along with this document, these other two eliminate all uses for the NULL KEY. This document obsoletes NULL KEY.

RFC 3445セクション3は、キーRRのフラグフィールドの上部2ビットを排除します。これらの2つのビットは、nullキーまたはキーなしを示すために使用されました。RFC 3090はそのゾーンを安全かどうかを定義し、これらのルールはゾーンアペックスにヌルキーを配置して、ゾーンがアルゴリズムのために固定されていないことを示す必要性を排除します。このドキュメントに加えて、これらの他の2つは、nullキーのすべての使用を排除します。このドキュメントは、nullキーを廃止します。

2.3. Comments on Protocol Changes
2.3. プロトコルの変更に関するコメント

Over the years, there have been various discussions surrounding the DNS delegation model, declaring it to be broken because there is no good way to assert if a delegation exists. In the RFC 2535 version of DNSSEC, the presence of the NS bit in the NXT bit map proves there is a delegation at this name. Something more explicit is required and the DS record addresses this need for secure delegations.

長年にわたり、DNS委任モデルを取り巻くさまざまな議論があり、代表団が存在するかどうかを主張する良い方法がないため、壊れていると宣言しています。DNSSECのRFC 2535バージョンでは、NXTビットマップにNSビットが存在することは、この名前に代表団があることを証明しています。より明示的なものが必要であり、DSレコードは安全な代表団のこの必要性に対処します。

The DS record is a major change to DNS: it is the first resource record that can appear only on the upper side of a delegation. Adding it will cause interoperability problems and requires a flag day for DNSSEC. Many old nameservers and resolvers MUST be upgraded to take advantage of DS. Some old nameservers will be able to be authoritative for zones with DS records but will not add the NXT or DS records to the authority section. The same is true for caching nameservers; in fact, some might even refuse to pass on the DS or NXT records.

DSレコードは、DNSの大きな変更です。これは、代表団の上部にのみ表示できる最初のリソースレコードです。それを追加すると、相互運用性の問題が発生し、DNSSECのフラグ日が必要です。DSを利用するには、多くの古い名前の名前サーバーとリゾルバーをアップグレードする必要があります。一部の古い名前アーバーは、DSレコードを持つゾーンに対して権威あるものになることができますが、NXTまたはDSレコードを当局セクションに追加することはできません。同じことが、名前アーバーのキャッシュにも当てはまります。実際、DSまたはNXTレコードを渡すことを拒否する人もいます。

2.4. Wire Format of the DS record
2.4. DSレコードのワイヤー形式

The DS (type=43) record contains these fields: key tag, algorithm, digest type, and the digest of a public key KEY record that is allowed and/or used to sign the child's apex KEY RRset. Other keys MAY sign the child's apex KEY RRset.

DS(Type = 43)レコードには、これらのフィールドが含まれています。キータグ、アルゴリズム、ダイジェストタイプ、および子供のApexキーRRSetに署名するために許可および/または使用される公開キーレコードのダイジェスト。他のキーは、子供の頂点キーRRSetに署名する場合があります。

                        1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |           key tag             |  algorithm    |  Digest type  |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                digest  (length depends on type)               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                (SHA-1 digest is 20 bytes)                     |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                                                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
   |                                                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
   |                                                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

The key tag is calculated as specified in RFC 2535. Algorithm MUST be allowed to sign DNS data. The digest type is an identifier for the digest algorithm used. The digest is calculated over the canonical name of the delegated domain name followed by the whole RDATA of the KEY record (all four fields).

キータグは、RFC 2535で指定されているように計算されます。アルゴリズムはDNSデータに署名する必要があります。ダイジェストタイプは、使用されるダイジェストアルゴリズムの識別子です。ダイジェストは、委任されたドメイン名の標準名で計算され、その後にキーレコードのrdata全体(4つのフィールドすべて)が使用されます。

digest = hash( canonical FQDN on KEY RR | KEY_RR_rdata)

Digest = Hash(key rr | key_rr_rdataの正規fqdn)

KEY_RR_rdata = Flags | Protocol | Algorithm | Public Key

key_rr_rdata = flags |プロトコル|アルゴリズム|公開鍵

Digest type value 0 is reserved, value 1 is SHA-1, and reserving other types requires IETF standards action. For interoperability reasons, keeping number of digest algorithms low is strongly RECOMMENDED. The only reason to reserve additional digest types is to increase security.

ダイジェストタイプ値0は予約されており、値1はSHA-1であり、他のタイプを予約するにはIETF標準アクションが必要です。相互運用性の理由から、ダイジェストアルゴリズムの数を低く保つことを強くお勧めします。追加のダイジェストタイプを予約する唯一の理由は、セキュリティを増やすことです。

DS records MUST point to zone KEY records that are allowed to authenticate DNS data. The indicated KEY records protocol field MUST be set to 3; flag field bit 7 MUST be set to 1. The value of other flag bits is not significant for the purposes of this document.

DSレコードは、DNSデータを認証できるゾーンキーレコードを指す必要があります。指定されたキーレコードプロトコルフィールドは3に設定する必要があります。フラグフィールドビット7は1に設定する必要があります。他のフラグビットの値は、このドキュメントの目的では重要ではありません。

The size of the DS RDATA for type 1 (SHA-1) is 24 bytes, regardless of key size. New digest types probably will have larger digests.

タイプ1(SHA-1)のDS RDATAのサイズは、キーサイズに関係なく24バイトです。新しいダイジェストタイプは、おそらくより大きなダイジェストを持っているでしょう。

2.4.1. Justifications for Fields
2.4.1. フィールドの正当化

The algorithm and key tag fields are present to allow resolvers to quickly identify the candidate KEY records to examine. SHA-1 is a strong cryptographic checksum: it is computationally infeasible for an attacker to generate a KEY record that has the same SHA-1 digest. Combining the name of the key and the key rdata as input to the digest provides stronger assurance of the binding. Having the key tag in the DS record adds greater assurance than the SHA-1 digest alone, as there are now two different mapping functions.

アルゴリズムとキータグフィールドが存在し、リゾルバーが調べて候補のキーレコードをすばやく識別できるようにします。SHA-1は強力な暗号化チェックサムです。攻撃者が同じSHA-1ダイジェストを持つ重要なレコードを生成することは、計算上無効です。キーとキーのrdataの名前をダイジェストへの入力として組み合わせることで、結合のより強力な保証が得られます。DSレコードにキータグを付けると、2つの異なるマッピング関数があるため、SHA-1ダイジェストだけよりも大きな保証が追加されます。

This format allows concise representation of the keys that the child will use, thus keeping down the size of the answer for the delegation, reducing the probability of DNS message overflow. The SHA-1 hash is strong enough to uniquely identify the key and is similar to the PGP key footprint. The digest type field is present for possible future expansion.

この形式により、子供が使用するキーの簡潔な表現が可能になり、委任の答えのサイズを抑えて、DNSメッセージオーバーフローの確率が低下します。SHA-1ハッシュは、キーを一意に識別するのに十分な強さであり、PGPキーフットプリントに似ています。ダイジェストタイプのフィールドは、将来の拡張の可能性のために存在します。

The DS record is well suited to listing trusted keys for islands of security in configuration files.

DSレコードは、構成ファイルのセキュリティ島の信頼できるキーをリストするのに適しています。

2.5. Presentation Format of the DS Record
2.5. DSレコードのプレゼンテーション形式

The presentation format of the DS record consists of three numbers (key tag, algorithm, and digest type) followed by the digest itself presented in hex:

DSレコードのプレゼンテーション形式は、3つの数字(キータグ、アルゴリズム、およびダイジェストタイプ)で構成され、その後にDigest自体がHEXに表示されます。

      example.   DS  12345 3 1 123456789abcdef67890123456789abcdef67890
        
2.6. Transition Issues for Installed Base
2.6. インストールされたベースの移行問題

No backwards compatibility with RFC 2535 is provided.

RFC 2535との逆方向の互換性は提供されていません。

RFC 2535-compliant resolvers will assume that all DS-secured delegations are locally secure. This is bad, but the DNSEXT Working Group has determined that rather than dealing with both RFC 2535- secured zones and DS-secured zones, a rapid adoption of DS is preferable. Thus, the only option for early adopters is to upgrade to DS as soon as possible.

RFC 2535に準拠したリゾルバーは、すべてのDSが固定された代表団が局所的に安全であると仮定します。これは悪いことですが、DNSEXTのワーキンググループは、RFC 2535-セキュリティ済みゾーンとDSセキュアードゾーンの両方を扱うよりも、DSの迅速な採用が望ましいと判断しました。したがって、早期採用者の唯一のオプションは、できるだけ早くDSにアップグレードすることです。

2.6.1. Backwards compatibility with RFC 2535 and RFC 1035
2.6.1. RFC 2535およびRFC 1035との逆方向の互換性

This section documents how a resolver determines the type of delegation.

このセクションでは、リゾルバーが委任の種類をどのように決定するかを文書化します。

RFC 1035 delegation (in parent) has:

RFC 1035代表団(親)には次のようなものがあります。

RFC 1035 NS

RFC 1035 ns

RFC 2535 adds the following two cases:

RFC 2535は次の2つのケースを追加します。

Secure RFC 2535: NS + NXT + SIG(NXT) NXT bit map contains: NS SIG NXT Unsecure RFC 2535: NS + KEY + SIG(KEY) + NXT + SIG(NXT) NXT bit map contains: NS SIG KEY NXT KEY must be a NULL key.

セキュアRFC 2535:NS NXT SIG(NXT)NXTビットマップが含まれます:NS SIG NXT UNSCURE RFC 2535:NSキーSIG(キー)NXT SIG(NXT)NXTビットマップが含まれます。

DNSSEC with DS has the following two states:

DSのDNSSECには次の2つの状態があります。

   Secure DS:         NS + DS + SIG(DS)
                      NXT bit map contains: NS SIG NXT DS
   Unsecure DS:       NS + NXT + SIG(NXT)
                      NXT bit map contains: NS SIG NXT
        

It is difficult for a resolver to determine if a delegation is secure RFC 2535 or unsecure DS. This could be overcome by adding a flag to the NXT bit map, but only upgraded resolvers would understand this flag, anyway. Having both parent and child signatures for a KEY RRset might allow old resolvers to accept a zone as secure, but the cost of doing this for a long time is much higher than just prohibiting RFC 2535-style signatures at child zone apexes and forcing rapid deployment of DS-enabled nameservers and resolvers.

代表団が安全なRFC 2535または無事DSであるかどうかを制御装置が判断することは困難です。これは、NXTビットマップにフラグを追加することで克服できますが、とにかくアップグレードされたリゾルバーのみがこのフラグを理解するでしょう。キーRRSTの親と子の両方の署名を持つことにより、古いリゾルバーがゾーンを安全として受け入れることができるかもしれませんが、これを長時間行うコストは、Child Zone ApexesでRFC 2535スタイルの署名を禁止し、迅速な展開を強制するよりもはるかに高くなりますDS対応の名前アーバーとリゾルバーの。

RFC 2535 and DS can, in theory, be deployed in parallel, but this would require resolvers to deal with RFC 2535 configurations forever. This document obsoletes the NULL KEY in parent zones, which is a difficult enough change that to cause a flag day.

RFC 2535とDSは、理論的には並行して展開できますが、これにはRFC 2535構成を永久に処理するためにリゾルバーが必要になります。このドキュメントは、親ゾーンのnullキーを廃止します。これは、旗の日を引き起こすために十分に困難な変化です。

2.7. KEY and corresponding DS record example
2.7. キーおよび対応するDSレコードの例

This is an example of a KEY record and the corresponding DS record.

これは、キーレコードと対応するDSレコードの例です。

   dskey.example. KEY  256 3 1 (
                  AQPwHb4UL1U9RHaU8qP+Ts5bVOU1s7fYbj2b3CCbzNdj
                  4+/ECd18yKiyUQqKqQFWW5T3iVc8SJOKnueJHt/Jb/wt
                  ) ; key id = 28668
             DS   28668 1  1  49FD46E6C4B45C55D4AC69CBD3CD34AC1AFE51DE
        
3. Resolver
3. リゾルバ
3.1. DS Example
3.1. DSの例

To create a chain of trust, a resolver goes from trusted KEY to DS to KEY.

信頼のチェーンを作成するために、リゾルバーは信頼できるキーからDS、キーになります。

Assume the key for domain "example." is trusted. Zone "example." contains at least the following records: example. SOA <soa stuff> example. NS ns.example. example. KEY <stuff> example. NXT secure.example. NS SOA KEY SIG NXT example. SIG(SOA) example. SIG(NS) example. SIG(NXT) example. SIG(KEY) secure.example. NS ns1.secure.example. secure.example. DS tag=12345 alg=3 digest_type=1 <foofoo> secure.example. NXT unsecure.example. NS SIG NXT DS secure.example. SIG(NXT) secure.example. SIG(DS) unsecure.example NS ns1.unsecure.example. unsecure.example. NXT example. NS SIG NXT unsecure.example. SIG(NXT)

ドメイン「例」のキーを仮定します。信頼されています。ゾーン「例」。少なくとも次のレコードが含まれています。例。SOA <SOAスタッフ>例。ns ns.example。例。キー<スタップ>例。nxt secure.example。NS SOAキーSIG NXTの例。SIG(SOA)の例。SIG(NS)の例。SIG(NXT)の例。SIG(key)secure.example。ns ns1.secure.example。secure.example。ds tag = 12345 alg = 3 digest_type = 1 <foofoo> secure.example。nxt unscure.example。ns sig nxt ds secure.example。SIG(NXT)Secure.example。SIG(DS)Unscure.example ns ns1.unsecure.example。ussecure.example。NXTの例。ns sig nxt unscure.example。sig(nxt)

      In zone "secure.example." following records exist:
      secure.example.   SOA      <soa stuff>
      secure.example.   NS       ns1.secure.example.
      secure.example.   KEY      <tag=12345 alg=3>
      secure.example.   KEY      <tag=54321 alg=5>
      secure.example.   NXT      <nxt stuff>
      secure.example.   SIG(KEY) <key-tag=12345 alg=3>
      secure.example.   SIG(SOA) <key-tag=54321 alg=5>
      secure.example.   SIG(NS)  <key-tag=54321 alg=5>
      secure.example.   SIG(NXT) <key-tag=54321 alg=5>
        

In this example, the private key for "example." signs the DS record for "secure.example.", making that a secure delegation. The DS record states which key is expected to sign the KEY RRset at "secure.example.". Here "secure.example." signs its KEY RRset with the KEY identified in the DS RRset, thus the KEY RRset is validated and trusted.

この例では、「例」の秘密鍵。「Secure.example」のDSレコードに署名し、それを安全な代表団にします。DSは、どのキーが「secure.example」でキーrrsetに署名すると予想されることを記録します。ここで「secure.example。」Key RRSetがDS RRSETで識別されたキーRRSETに署名するため、キーRRSTは検証され、信頼されます。

This example has only one DS record for the child, but parents MUST allow multiple DS records to facilitate key roll-over and multiple KEY algorithms.

この例には、子供のDSレコードは1つしかありませんが、保護者は複数のDSレコードを許可してキーロールオーバーと複数のキーアルゴリズムを促進する必要があります。

The resolver determines the security status of "unsecure.example." by examining the parent zone's NXT record for this name. The absence of the DS bit indicates an unsecure delegation. Note the NXT record SHOULD only be examined after verifying the corresponding signature.

リゾルバーは、「Unscure.example」のセキュリティステータスを決定します。この名前の親ゾーンのNXTレコードを調べることにより。DSビットがないことは、安全でない委任を示しています。注NXTレコードは、対応する署名を確認した後にのみ検査する必要があります。

3.2. Resolver Cost Estimates for DS Records
3.2. DSレコードのリゾルバーコストの見積もり

From a RFC 2535 recursive resolver point of view, for each delegation followed to chase down an answer, one KEY RRset has to be verified. Additional RRsets might also need to be verified based on local policy (e.g., the contents of the NS RRset). Once the resolver gets to the appropriate delegation, validating the answer might require verifying one or more signatures. A simple A record lookup requires at least N delegations to be verified and one RRset. For a DS-enabled recursive resolver, the cost is 2N+1. For an MX record, where the target of the MX record is in the same zone as the MX record, the costs are N+2 and 2N+2, for RFC 2535 and DS, respectively. In the case of a negative answer, the same ratios hold true.

RFC 2535の再帰的な解像度の観点から、回答を追いかけるために続く各代表団について、1つの重要なRRSetを検証する必要があります。追加のRRSetは、ローカルポリシー(たとえば、NS RRSetの内容)に基づいて検証する必要がある場合があります。リゾルバーが適切な代表団に到達したら、答えを検証するには、1つ以上の署名を検証する必要がある場合があります。単純なAレコード検索では、少なくともn委任されたものを検証し、1つのRRSetを必要とします。DS対応の再帰リゾルバーの場合、コストは2N 1です。MXレコードのターゲットがMXレコードと同じゾーンにあるMXレコードの場合、コストはRFC 2535およびDSの場合はN 2および2N 2です。、 それぞれ。否定的な答えの場合、同じ比率が当てはまります。

The recursive resolver has to do an extra query to get the DS record, which will increase the overall cost of resolving this question, but it will never be worse than chasing down NULL KEY records from the parent in RFC 2535 DNSSEC.

再帰リゾルバーは、DSレコードを取得するために追加のクエリを行う必要があります。これにより、この質問を解決するための全体的なコストが増加しますが、RFC 2535 DNSSECの親からNullキーレコードを追いかけることよりも悪くなることはありません。

DS adds processing overhead on resolvers and increases the size of delegation answers, but much less than storing signatures in the parent zone.

DSはリゾルバーにオーバーヘッドの処理を追加し、代表団の回答のサイズを増やしますが、親ゾーンに署名を保存するよりもはるかに少なくなります。

4. Security Considerations
4. セキュリティに関する考慮事項

This document proposes a change to the validation chain of KEY records in DNSSEC. The change is not believed to reduce security in the overall system. In RFC 2535 DNSSEC, the child zone has to communicate keys to its parent and prudent parents will require some authentication with that transaction. The modified protocol will require the same authentication, but allows the child to exert more local control over its own KEY RRset.

このドキュメントは、DNSSECの主要なレコードの検証チェーンへの変更を提案しています。この変更は、システム全体のセキュリティを減らすとは考えられていません。RFC 2535 DNSSECでは、子ゾーンは親にキーを伝える必要があり、慎重な親はその取引である程度の認証を必要とします。変更されたプロトコルは同じ認証を必要としますが、子供は独自の重要なRRSetに対してより局所的な制御を行うことができます。

There is a remote possibility that an attacker could generate a valid KEY that matches all the DS fields, of a specific DS set, and thus forge data from the child. This possibility is considered impractical, as on average more than

攻撃者が特定のDSセットのすべてのDSフィールドに一致する有効なキーを生成し、子供からのデータを偽造できるというリモートの可能性があります。この可能性は、平均してより多くのことをするように、非現実的であると見なされます

      2 ^ (160 - <Number of keys in DS set>)
        

keys would have to be generated before a match would be found.

試合が見つかる前にキーを生成する必要があります。

An attacker that wants to match any DS record will have to generate on average at least 2^80 keys.

DSレコードを一致させたい攻撃者は、平均で少なくとも2^80キーを生成する必要があります。

The DS record represents a change to the DNSSEC protocol and there is an installed base of implementations, as well as textbooks on how to set up secure delegations. Implementations that do not understand the DS record will not be able to follow the KEY to DS to KEY chain and will consider all zones secured that way as unsecure.

DSレコードは、DNSSECプロトコルの変更を表しており、インストールされた実装ベースと、安全な代表団のセットアップ方法に関する教科書があります。DSレコードを理解していない実装は、DSのキーにキーをキーチェーンに追跡できず、そのように保護されているすべてのゾーンが安全でないと考えるでしょう。

5. IANA Considerations
5. IANAの考慮事項

IANA has allocated an RR type code for DS from the standard RR type space (type 43).

IANAは、標準のRRタイプスペースからDSのRRタイプコードを割り当てました(タイプ43)。

IANA has established a new registry for the DS RR type for digest algorithms. Defined types are:

IANAは、ダイジェストアルゴリズムのDS RRタイプの新しいレジストリを確立しました。定義されたタイプは次のとおりです。

0 is Reserved, 1 is SHA-1.

0は予約されており、1はSHA-1です。

Adding new reservations requires IETF standards action.

新しい予約を追加するには、IETF標準アクションが必要です。

6. Intellectual Property Statement
6. 知的財産声明

The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.

IETFは、知的財産またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用に関連すると主張される可能性のある他の権利、またはそのような権利に基づくライセンスがどの程度であるかについての程度に関連する可能性があるという立場はありません。利用可能;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連のドキュメントの権利に関するIETFの手順に関する情報は、BCP-11に記載されています。出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を得ることができますIETF事務局から。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実践するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待します。情報をIETFエグゼクティブディレクターに宛ててください。

7. Acknowledgments
7. 謝辞

Over the last few years a number of people have contributed ideas that are captured in this document. The core idea of using one key to sign only the KEY RRset comes from discussions with Bill Manning and Perry Metzger on how to put in a single root key in all resolvers. Alexis Yushin, Brian Wellington, Sam Weiler, Paul Vixie, Jakob Schlyter, Scott Rose, Edward Lewis, Lars-Johan Liman, Matt Larson, Mark Kosters, Dan Massey, Olaf Kolman, Phillip Hallam-Baker, Miek Gieben, Havard Eidnes, Donald Eastlake 3rd., Randy Bush, David Blacka, Steve Bellovin, Rob Austein, Derek Atkins, Roy Arends, Mark Andrews, Harald Alvestrand, and others have provided useful comments.

過去数年にわたって、多くの人々がこの文書で捉えられているアイデアを提供してきました。1つのキーを使用してキーRRSetのみに署名するというコアアイデアは、すべてのリゾルバーに単一のルートキーを入れる方法についてのビルマニングとペリーメッツガーとの議論から来ています。アレクシス・ユシン、ブライアン・ウェリントン、サム・ワイラー、ポール・ビクシー、ヤコブ・シュライター、スコット・ローズ、エドワード・ルイス、ラース・ジョーハン・リマン、マット・ラーソン、マーク・コスターズ、ダン・マッセイ、オラフ・コルマン、フィリップ・ハラム・ベーカー、ミエク・ジーベン、ハバード・アイドネスEastlake 3rd。、Randy Bush、David Blacka、Steve Bellovin、Rob Austein、Derek Atkins、Roy Arends、Mark Andrews、Harald Alvestrandなどが有用なコメントを提供しています。

8. References
8. 参考文献
8.1. Normative References
8.1. 引用文献

[RFC1035] Mockapetris, P., "Domain Names - Implementation and Specification", STD 13, RFC 1035, November 1987.

[RFC1035] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC2535] Eastlake, D., "Domain Name System Security Extensions", RFC 2535, March 1999.

[RFC2535] Eastlake、D。、「ドメイン名システムセキュリティ拡張機能」、RFC 2535、1999年3月。

[RFC3008] Wellington, B., "Domain Name System Security (DNSSEC) Signing Authority", RFC 3008, November 2000.

[RFC3008]ウェリントン、B。、「ドメイン名システムセキュリティ(DNSSEC)署名権限」、RFC 3008、2000年11月。

[RFC3090] Lewis, E., "DNS Security Extension Clarification on Zone Status", RFC 3090, March 2001.

[RFC3090]ルイス、E。、「ゾーンステータスに関するDNSセキュリティ拡張の説明」、RFC 3090、2001年3月。

[RFC3225] Conrad, D., "Indicating Resolver Support of DNSSEC", RFC 3225, December 2001.

[RFC3225] Conrad、D。、「DNSSECのリゾルバーサポートを示す」、RFC 3225、2001年12月。

[RFC3445] Massey, D. and S. Rose, "Limiting the scope of the KEY Resource Record (RR)", RFC 3445, December 2002.

[RFC3445] Massey、D。およびS. Rose、「主要なリソースレコード(RR)の範囲の制限」、RFC 3445、2002年12月。

8.2. Informational References
8.2. 情報参照

[RFC2181] Elz, R. and R. Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997.

[RFC2181] Elz、R。およびR. Bush、「DNS仕様の説明」、RFC 2181、1997年7月。

[RFC3226] Gudmundsson, O., "DNSSEC and IPv6 A6 aware server/resolver message size requirements", RFC 3226, December 2001.

[RFC3226] Gudmundsson、O。、「DNSSECおよびIPv6 A6 Aware Server/Resolverメッセージサイズ要件」、RFC 3226、2001年12月。

9. Author's Address
9. 著者の連絡先

Olafur Gudmundsson 3821 Village Park Drive Chevy Chase, MD, 20815

Olafur Gudmundsson 3821 Village Park Drive Chevy Chase、MD、20815

   EMail: ds-rfc@ogud.com
        
10. 完全な著作権声明

Copyright (C) The Internet Society (2003). All Rights Reserved.

Copyright(c)The Internet Society(2003)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.

上記の限られた許可は永続的であり、インターネット社会やその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。