[要約] RFC 4470は、DNSSECに関連するNSECレコードとオンライン署名についての要約と目的を提供しています。このRFCの目的は、DNSSECの効率的な実装と運用を支援するために、NSECレコードの最小限のカバレッジとオンライン署名の手法を提案することです。
Network Working Group S. Weiler
Request for Comments: 4470 SPARTA, Inc.
Updates: 4035, 4034 J. Ihren
Category: Standards Track Autonomica AB
April 2006
Minimally Covering NSEC Records and DNSSEC On-line Signing
NSECレコードとDNSSECオンライン署名を最小限に抑えます
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
This document describes how to construct DNSSEC NSEC resource records that cover a smaller range of names than called for by RFC 4034. By generating and signing these records on demand, authoritative name servers can effectively stop the disclosure of zone contents otherwise made possible by walking the chain of NSEC records in a signed zone.
このドキュメントでは、RFC 4034で求められているものよりも小さな範囲の名前をカバーするDNSSEC NSECリソースレコードを構築する方法について説明します。これらのレコードを需要のあるレコードを生成および署名することにより、権威ある名前サーバーは、他の方法ではウォーキングを行うことによって可能なゾーンコンテンツの開示を効果的に停止できます。署名ゾーン内のNSECレコードのチェーン。
Table of Contents
目次
1. Introduction ....................................................1
2. Applicability of This Technique .................................2
3. Minimally Covering NSEC Records .................................2
4. Better Epsilon Functions ........................................4
5. Security Considerations .........................................5
6. Acknowledgements ................................................6
7. Normative References ............................................6
With DNSSEC [1], an NSEC record lists the next instantiated name in its zone, proving that no names exist in the "span" between the NSEC's owner name and the name in the "next name" field. In this document, an NSEC record is said to "cover" the names between its owner name and next name.
DNSSEC [1]を使用すると、NSECレコードには、そのゾーンの次のインスタンス化された名前が記載されており、NSECの所有者名と「Next Name」フィールドの名前の間に「スパン」に名前が存在しないことを証明しています。このドキュメントでは、NSECレコードは、所有者名と次の名前の間の名前を「カバー」すると言われています。
Through repeated queries that return NSEC records, it is possible to retrieve all of the names in the zone, a process commonly called "walking" the zone. Some zone owners have policies forbidding zone transfers by arbitrary clients; this side effect of the NSEC architecture subverts those policies.
NSECレコードを返す繰り返しクエリを通じて、ゾーン内のすべての名前を「ウォーキング」と呼ばれるプロセスを取得することができます。一部のゾーン所有者は、任意のクライアントによるゾーン転送を禁止するポリシーを持っています。NSECアーキテクチャのこの副作用は、これらのポリシーを覆します。
This document presents a way to prevent zone walking by constructing NSEC records that cover fewer names. These records can make zone walking take approximately as many queries as simply asking for all possible names in a zone, making zone walking impractical. Some of these records must be created and signed on demand, which requires on-line private keys. Anyone contemplating use of this technique is strongly encouraged to review the discussion of the risks of on-line signing in Section 5.
このドキュメントは、より少ない名前をカバーするNSECレコードを作成することにより、ゾーンウォーキングを防ぐ方法を示しています。これらのレコードにより、ゾーンウォーキングは、単にゾーン内のすべての可能な名前を要求するだけで、ゾーンを実行するだけでなく、ゾーンが非現実的になります。これらのレコードの一部は、オンラインのプライベートキーを必要とする必要があるオンデマンドで作成および署名する必要があります。この手法の使用を検討している人は、セクション5でオンライン署名のリスクの議論をレビューすることを強くお勧めします。
The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [4].
キーワードは「必要」、「必要」、「必須」、「shall」、「shall "、" sulld "、" not "、" becommented "、" "、" optional "は、RFC 2119 [4]に記載されているように解釈されます。
The technique presented here may be useful to a zone owner that wants to use DNSSEC, is concerned about exposure of its zone contents via zone walking, and is willing to bear the costs of on-line signing.
ここに示されている手法は、DNSSECを使用したいゾーン所有者にとって有用であり、ゾーンウォーキングを介したゾーンの内容の露出を懸念しており、オンライン署名のコストを担います。
As discussed in Section 5, on-line signing has several security risks, including an increased likelihood of private keys being disclosed and an increased risk of denial of service attack. Anyone contemplating use of this technique is strongly encouraged to review the discussion of the risks of on-line signing in Section 5.
セクション5で説明したように、オンライン署名にはいくつかのセキュリティリスクがあります。これには、プライベートキーが開示される可能性の増加やサービス拒否攻撃のリスクが高くなります。この手法の使用を検討している人は、セクション5でオンライン署名のリスクの議論をレビューすることを強くお勧めします。
Furthermore, at the time this document was published, the DNSEXT working group was actively working on a mechanism to prevent zone walking that does not require on-line signing (tentatively called NSEC3). The new mechanism is likely to expose slightly more information about the zone than this technique (e.g., the number of instantiated names), but it may be preferable to this technique.
さらに、このドキュメントが公開されたとき、DNSEXTワーキンググループは、オンライン署名を必要としないゾーンウォーキングを防ぐためのメカニズムに積極的に取り組んでいました(暫定的にNSEC3と呼ばれます)。新しいメカニズムは、この手法(たとえば、インスタンス化された名前の数など)よりもゾーンに関するわずかに多くの情報を公開する可能性がありますが、この手法よりも好ましい場合があります。
This mechanism involves changes to NSEC records for instantiated names, which can still be generated and signed in advance, as well as the on-demand generation and signing of new NSEC records whenever a name must be proven not to exist.
このメカニズムには、インスタンス化された名前のNSECレコードへの変更が含まれます。これは、事前に生成および署名することができます。また、名前が存在しないことを証明する必要がある場合は、オンデマンドの生成と新しいNSECレコードの署名が含まれます。
In the "next name" field of instantiated names' NSEC records, rather than list the next instantiated name in the zone, list any name that falls lexically after the NSEC's owner name and before the next instantiated name in the zone, according to the ordering function in RFC 4034 [2] Section 6.1. This relaxes the requirement in Section 4.1.1 of RFC 4034 that the "next name" field contains the next owner name in the zone. This change is expected to be fully compatible with all existing DNSSEC validators. These NSEC records are returned whenever proving something specifically about the owner name (e.g., that no resource records of a given type appear at that name).
ゾーン内の次のインスタンス化された名前をリストするのではなく、インスタンス化された名前の「次の名前」フィールドで、NSECの所有者名の後、ゾーン内の次のインスタンス化された名前の前に字句的に落ちる名前を一覧表示します。RFC 4034の関数[2]セクション6.1。これにより、RFC 4034のセクション4.1.1の要件が緩和されます。「次の名前」フィールドには、ゾーンの次の所有者名が含まれています。この変更は、既存のすべてのDNSSECバリデーターと完全に互換性があると予想されます。これらのNSECレコードは、所有者名について具体的に何かを証明するたびに返されます(たとえば、その名前に特定のタイプのリソースレコードが表示されないこと)。
Whenever an NSEC record is needed to prove the non-existence of a name, a new NSEC record is dynamically produced and signed. The new NSEC record has an owner name lexically before the QNAME but lexically following any existing name and a "next name" lexically following the QNAME but before any existing name.
名前の存在を証明するためにNSECレコードが必要なときはいつでも、新しいNSECレコードが動的に作成されて署名されます。新しいNSECレコードには、QNAMEの前にオーナー名が語彙的に責任しますが、既存の名前と「次の名前」を語彙的には、QNAMEに続くが、既存の名前の前に語られます。
The generated NSEC record's type bitmap MUST have the RRSIG and NSEC bits set and SHOULD NOT have any other bits set. This relaxes the requirement in Section 2.3 of RFC4035 that NSEC RRs not appear at names that did not exist before the zone was signed.
生成されたNSECレコードのタイプビットマップには、RRSIGおよびNSECビットが設定されている必要があり、他のビットが設定されていないはずです。これにより、ゾーンが署名される前に存在しなかった名前にNSEC RRSが表示されないというRFC4035のセクション2.3の要件が緩和されます。
The functions to generate the lexically following and proceeding names need not be perfect or consistent, but the generated NSEC records must not cover any existing names. Furthermore, this technique works best when the generated NSEC records cover as few names as possible. In this document, the functions that generate the nearby names are called "epsilon" functions, a reference to the mathematical convention of using the greek letter epsilon to represent small deviations.
語彙的にフォローし、手続き名を生成する機能は完全でも一貫していませんが、生成されたNSECレコードは既存の名前をカバーしてはなりません。さらに、この手法は、生成されたNSECレコードができるだけ少ない名前をカバーするときに最適に機能します。このドキュメントでは、近くの名前を生成する関数は「epsilon」関数と呼ばれます。これは、ギリシャ文字のエプシロンを使用して小さな逸脱を表す数学的慣習への言及です。
An NSEC record denying the existence of a wildcard may be generated in the same way. Since the NSEC record covering a non-existent wildcard is likely to be used in response to many queries, authoritative name servers using the techniques described here may want to pregenerate or cache that record and its corresponding RRSIG.
ワイルドカードの存在を否定するNSECレコードも同じ方法で生成される場合があります。存在しないワイルドカードをカバーするNSECレコードは、多くのクエリに応じて使用される可能性が高いため、ここで説明する手法を使用した権威ある名前サーバーは、そのレコードとその対応するRRSIGを前提またはキャッシュすることを望む場合があります。
For example, a query for an A record at the non-instantiated name example.com might produce the following two NSEC records, the first denying the existence of the name example.com and the second denying the existence of a wildcard:
たとえば、Instantiated Name example.comでのAレコードのクエリは、次の2つのNSECレコードを作成する可能性があります。最初のNSECレコードは、example.comという名前と2つ目がワイルドカードの存在を否定することを否定する可能性があります。
exampld.com 3600 IN NSEC example-.com ( RRSIG NSEC )
exampld.com 3600 in nsec emple-com(rrsig nsec)
\).com 3600 IN NSEC +.com ( RRSIG NSEC )
\)。nsec .comのcom 3600(rrsig nsec)
Before answering a query with these records, an authoritative server must test for the existence of names between these endpoints. If the generated NSEC would cover existing names (e.g., exampldd.com or *bizarre.example.com), a better epsilon function may be used or the covered name closest to the QNAME could be used as the NSEC owner name or next name, as appropriate. If an existing name is used as the NSEC owner name, that name's real NSEC record MUST be returned. Using the same example, assuming an exampldd.com delegation exists, this record might be returned from the parent:
これらのレコードでクエリに答える前に、権威あるサーバーはこれらのエンドポイント間に名前の存在をテストする必要があります。生成されたNSECが既存の名前をカバーする場合(例:exampldd.comまたは *bizarre.example.comなど)、より優れたepsilon関数を使用するか、QNameに最も近い名前をNSECの所有者名または次の名前として使用できます。適切に。既存の名前がNSECの所有者名として使用される場合、その名前の実際のNSECレコードを返す必要があります。同じ例を使用して、examplddd.comの代表団が存在すると仮定すると、この記録は親から返される可能性があります。
exampldd.com 3600 IN NSEC example-.com ( NS DS RRSIG NSEC )
exampldd.com 3600 in nsec emple-com(ns ds rrsig nsec)
Like every authoritative record in the zone, each generated NSEC record MUST have corresponding RRSIGs generated using each algorithm (but not necessarily each DNSKEY) in the zone's DNSKEY RRset, as described in RFC 4035 [3] Section 2.2. To minimize the number of signatures that must be generated, a zone may wish to limit the number of algorithms in its DNSKEY RRset.
ゾーン内のすべての権威あるレコードと同様に、RFC 4035 [3]セクション2.2に記載されているように、各アルゴリズム(必ずしも各DNSKEY(必ずしも各DNSKEY)を使用して生成された対応するRRSIG(必ずしも各DNSKEY)を使用して生成される対応するRRSIGが必要です。生成する必要がある署名の数を最小限に抑えるために、ゾーンはDNSKEY RRSetのアルゴリズムの数を制限することをお勧めします。
Section 6.1 of RFC 4034 defines a strict ordering of DNS names. Working backward from that definition, it should be possible to define epsilon functions that generate the immediately following and preceding names, respectively. This document does not define such functions. Instead, this section presents functions that come reasonably close to the perfect ones. As described above, an authoritative server should still ensure than no generated NSEC covers any existing name.
RFC 4034のセクション6.1は、DNS名の厳格な順序を定義しています。その定義から逆方向に作業すると、それぞれ次の名前と直前の名前を生成するEpsilon関数を定義することができるはずです。このドキュメントは、そのような関数を定義しません。代わりに、このセクションでは、完璧なものに合理的に近づく機能を示します。上記のように、権威あるサーバーは、生成されたNSECが既存の名前をカバーしていないことを保証する必要があります。
To increment a name, add a leading label with a single null (zero-value) octet.
名前をインクリメントするには、単一のnull(ゼロ値)Octetを備えた主要なラベルを追加します。
To decrement a name, decrement the last character of the leftmost label, then fill that label to a length of 63 octets with octets of value 255. To decrement a null (zero-value) octet, remove the octet -- if an empty label is left, remove the label. Defining this function numerically: fill the leftmost label to its maximum length with zeros (numeric, not ASCII zeros) and subtract one.
名前を削除するには、左端のラベルの最後の文字を減らしてから、そのラベルを値255のオクテットで63オクテットの長さに記入してください(ゼロ値)オクテットを削除するには、オクテットを削除します - 空のラベルの場合残り、ラベルを削除します。この関数を数値的に定義します。左端のラベルをその最大長にゼロ(数値、asciiゼロではなく)で埋め、1つを減算します。
In response to a query for the non-existent name foo.example.com, these functions produce NSEC records of the following:
存在しない名前foo.example.comのクエリに応じて、これらの関数は以下のNSECレコードを生成します。
fon\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255.example.com 3600 IN NSEC \000.foo.example.com ( NSEC RRSIG )
fon \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ \ 255 \ 255 \ 255 \255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 25555555.Example.com 3600 \ 000.foo.example.com(NSEC RRSIG)
\)\255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255\255\255\255\255\255\255\255\255\255\255\255\255\255 \255\255.example.com 3600 IN NSEC \000.*.example.com ( NSEC RRSIG )
\)\ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255\ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255\ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255 \ 255.Example.com 3600 in nsec \ 000。*。
The first of these NSEC RRs proves that no exact match for foo.example.com exists, and the second proves that there is no wildcard in example.com.
これらのNSEC RRSの最初は、foo.example.comと正確な一致が存在しないことを証明し、2番目はexample.comにワイルドカードがないことを証明しています。
Both of these functions are imperfect: they do not take into account constraints on number of labels in a name nor total length of a name. As noted in the previous section, though, this technique does not depend on the use of perfect epsilon functions: it is sufficient to test whether any instantiated names fall into the span covered by the generated NSEC and, if so, substitute those instantiated owner names for the NSEC owner name or next name, as appropriate.
これらの関数は両方とも不完全です。名前のラベルの数や名前の全長のラベルの数の制約を考慮していません。ただし、前のセクションで述べたように、この手法は完全なエプシロン関数の使用に依存しません。インスタンス化された名前が生成されたNSECでカバーされたスパンに該当するかどうかをテストするだけで十分です。必要に応じて、NSECの所有者名または次の名前の場合。
This approach requires on-demand generation of RRSIG records. This creates several new vulnerabilities.
このアプローチには、オンデマンド生成のRRSIGレコードが必要です。これにより、いくつかの新しい脆弱性が生まれます。
First, on-demand signing requires that a zone's authoritative servers have access to its private keys. Storing private keys on well-known Internet-accessible servers may make them more vulnerable to unintended disclosure.
まず、オンデマンドの署名では、ゾーンの権威あるサーバーがプライベートキーにアクセスできることが必要です。有名なインターネットアクセス可能なサーバーにプライベートキーを保存すると、意図しない開示に対してより脆弱になる場合があります。
Second, since generation of digital signatures tends to be computationally demanding, the requirement for on-demand signing makes authoritative servers vulnerable to a denial of service attack.
第二に、デジタル署名の生成は計算的に要求が厳しい傾向があるため、オンデマンド署名の要件により、権威あるサーバーはサービス拒否攻撃に対して脆弱になります。
Last, if the epsilon functions are predictable, on-demand signing may enable a chosen-plaintext attack on a zone's private keys. Zones using this approach should attempt to use cryptographic algorithms that are resistant to chosen-plaintext attacks. It is worth noting that although DNSSEC has a "mandatory to implement" algorithm, that is a requirement on resolvers and validators -- there is no requirement that a zone be signed with any given algorithm.
最後に、epsilon関数が予測可能である場合、オンデマンドの署名により、ゾーンのプライベートキーに対する選択されたプレーンテキスト攻撃が可能になる場合があります。このアプローチを使用するゾーンは、選択されたプレーンテキスト攻撃に耐性のある暗号化アルゴリズムを使用しようとする必要があります。DNSSECには「実装するための必須」アルゴリズム、つまりリゾルバーとバリデーターの要件であるが、特定のアルゴリズムでゾーンに署名されるという要件はないことは注目に値します。
The success of using minimally covering NSEC records to prevent zone walking depends greatly on the quality of the epsilon functions chosen. An increment function that chooses a name obviously derived from the next instantiated name may be easily reverse engineered, destroying the value of this technique. An increment function that always returns a name close to the next instantiated name is likewise a poor choice. Good choices of epsilon functions are the ones that produce the immediately following and preceding names, respectively, though zone administrators may wish to use less perfect functions that return more human-friendly names than the functions described in Section 4 above.
ゾーンウォーキングを防ぐためにNSECレコードを最小限に抑えることの成功は、選択したEpsilon機能の品質に大きく依存します。次のインスタンス化された名前から明らかに派生した名前を選択する増分関数は、簡単にリバースエンジニアリングして、この手法の価値を破壊することができます。次のインスタンス化された名前の近くに常に名前を返す増分関数も同様に、選択肢がありません。ゾーン管理者は、それぞれ上記のセクション4で説明した関数よりも人間に優しい名前を返す完全な関数を使用したい場合がありますが、Epsilon関数の適切な選択はそれぞれ次の名前と直前の名前を生成するものです。
Another obvious but misguided concern is the danger from synthesized NSEC records being replayed. It is possible for an attacker to replay an old but still validly signed NSEC record after a new name has been added in the span covered by that NSEC, incorrectly proving that there is no record at that name. This danger exists with DNSSEC as defined in [3]. The techniques described here actually decrease the danger, since the span covered by any NSEC record is smaller than before. Choosing better epsilon functions will further reduce this danger.
もう1つの明白であるが見当違いの懸念は、再生される合成されたNSECレコードによる危険性です。攻撃者は、そのNSECでカバーされたスパンに新しい名前が追加された後、その名前に記録がないことを誤って証明した後、古いが有効に署名されたNSECレコードを再生することが可能です。この危険は、[3]で定義されているDNSSECに存在します。NSECレコードでカバーされているスパンは以前よりも小さいため、ここで説明する手法は実際に危険を減らします。より良いイプシロン関数を選択すると、この危険がさらに減少します。
Many individuals contributed to this design. They include, in addition to the authors of this document, Olaf Kolkman, Ed Lewis, Peter Koch, Matt Larson, David Blacka, Suzanne Woolf, Jaap Akkerhuis, Jakob Schlyter, Bill Manning, and Joao Damas.
多くの個人がこのデザインに貢献しました。この文書の著者に加えて、オラフ・コルクマン、エド・ルイス、ピーター・コッホ、マット・ラーソン、デビッド・ブラッカ、スザンヌ・ウルフ、ジャップ・アッカーヒュイス、ヤコブ・シュライター、ビル・マニング、ジョア・ダマスが含まれます。
In addition, the editors would like to thank Ed Lewis, Scott Rose, and David Blacka for their careful review of the document.
さらに、編集者は、エド・ルイス、スコット・ローズ、デビッド・ブラッカに慎重にレビューしてくれたことに感謝します。
[1] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[1] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの紹介と要件」、RFC 4033、2005年3月。
[2] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[2] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張のリソースレコード」、RFC 4034、2005年3月。
[3] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[3] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のプロトコル変更」、RFC 4035、2005年3月。
[4] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[4] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
Authors' Addresses
著者のアドレス
Samuel Weiler SPARTA, Inc. 7075 Samuel Morse Drive Columbia, Maryland 21046 US
Samuel Weiler Sparta、Inc。7075 Samuel Morse Drive Columbia、Maryland 21046 US
EMail: weiler@tislabs.com
Johan Ihren Autonomica AB Bellmansgatan 30 Stockholm SE-118 47 Sweden
Johan Ihren Autonomica Ab Bellmansgatan 30 Stockholm SE-118 47 Sweden
EMail: johani@autonomica.se
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。