[要約] RFC 4592は、ドメイン名システム(DNS)におけるワイルドカードの役割についての要約です。このRFCの目的は、ワイルドカードの使用方法と制約を明確にすることです。
Network Working Group E. Lewis
Request for Comments: 4592 NeuStar
Updates: 1034, 2672 July 2006
Category: Standards Track
The Role of Wildcards in the Domain Name System
ドメイン名システムにおけるワイルドカードの役割
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
This is an update to the wildcard definition of RFC 1034. The interaction with wildcards and CNAME is changed, an error condition is removed, and the words defining some concepts central to wildcards are changed. The overall goal is not to change wildcards, but to refine the definition of RFC 1034.
これは、RFC 1034のワイルドカード定義の更新です。ワイルドカードとCNAMEとの相互作用が変更され、エラー条件が削除され、ワイルドカードの中心の概念を定義する単語が変更されます。全体的な目標は、ワイルドカードを変更することではなく、RFC 1034の定義を改善することです。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Motivation .................................................3
1.2. The Original Definition ....................................3
1.3. Roadmap to This Document ...................................4
1.3.1. New Terms ...........................................5
1.3.2. Changed Text ........................................5
1.3.3. Considerations with Special Types ...................5
1.4. Standards Terminology ......................................6
2. Wildcard Syntax .................................................6
2.1. Identifying a Wildcard .....................................6
2.1.1. Wildcard Domain Name and Asterisk Label .............6
2.1.2. Asterisks and Other Characters ......................7
2.1.3. Non-terminal Wildcard Domain Names ..................7
2.2. Existence Rules ............................................7
2.2.1. An Example ..........................................8
2.2.2. Empty Non-terminals .................................9
2.2.3. Yet Another Definition of Existence ................10
2.3. When Is a Wildcard Domain Name Not Special? ...............10
3. Impact of a Wildcard Domain Name on a Response .................10
3.1. Step 2 ....................................................11
3.2. Step 3 ....................................................11
3.3. Part 'c' ..................................................12
3.3.1. Closest Encloser and the Source of Synthesis .......12
3.3.2. Closest Encloser and Source of Synthesis Examples ..13
3.3.3. Type Matching ......................................13
4. Considerations with Special Types ..............................14
4.1. SOA RRSet at a Wildcard Domain Name .......................14
4.2. NS RRSet at a Wildcard Domain Name ........................14
4.2.1. Discarded Notions ..................................15
4.3. CNAME RRSet at a Wildcard Domain Name .....................16
4.4. DNAME RRSet at a Wildcard Domain Name .....................16
4.5. SRV RRSet at a Wildcard Domain Name .......................17
4.6. DS RRSet at a Wildcard Domain Name ........................17
4.7. NSEC RRSet at a Wildcard Domain Name ......................18
4.8. RRSIG at a Wildcard Domain Name ...........................18
4.9. Empty Non-terminal Wildcard Domain Name ...................18
5. Security Considerations ........................................18
6. References .....................................................18
6.1. Normative References ......................................18
6.2. Informative References ....................................19
7. Others Contributing to the Document ............................19
In RFC 1034 [RFC1034], sections 4.3.2 and 4.3.3 describe the synthesis of answers from special resource records (RRs) called wildcards. The definition in RFC 1034 is incomplete and has proven to be confusing. This document describes the wildcard synthesis by adding to the discussion and making limited modifications. Modifications are made to close inconsistencies that have led to interoperability issues. This description does not expand the service intended by the original definition.
RFC 1034 [RFC1034]では、セクション4.3.2および4.3.3では、WildCardsと呼ばれる特別なリソース記録(RRS)からの回答の統合について説明しています。RFC 1034の定義は不完全であり、混乱していることが証明されています。このドキュメントでは、ディスカッションに追加し、制限された変更を加えることにより、ワイルドカードの合成について説明します。修正は、相互運用性の問題につながった密接な矛盾に作られています。この説明は、元の定義によって意図されたサービスを拡張しません。
Staying within the spirit and style of the original documents, this document avoids specifying rules for DNS implementations regarding wildcards. The intention is to only describe what is needed for interoperability, not restrict implementation choices. In addition, consideration is given to minimize any backward-compatibility issues with implementations that comply with RFC 1034's definition.
元のドキュメントの精神とスタイルの中にとどまるこのドキュメントは、ワイルドカードに関するDNS実装のルールの指定を避けています。意図は、実装の選択を制限するのではなく、相互運用性に必要なもののみを記述することです。さらに、RFC 1034の定義に準拠した実装に関する後方互換性の問題を最小限に抑えるために考慮されます。
This document is focused on the concept of wildcards as defined in RFC 1034. Nothing is implied regarding alternative means of synthesizing resource record sets (RRSets), nor are alternatives discussed.
このドキュメントは、RFC 1034で定義されているワイルドカードの概念に焦点を当てています。リソースレコードセット(RRSET)を合成する代替手段に関しては、代替手段も議論されていません。
Many DNS implementations diverge, in different ways, from the original definition of wildcards. Although there is clearly a need to clarify the original documents in light of this alone, the impetus for this document lay in the engineering of the DNS security extensions [RFC4033]. With an unclear definition of wildcards, the design of authenticated denial became entangled.
多くのDNS実装は、さまざまな方法で、ワイルドカードの元の定義から分岐します。これだけに照らして元のドキュメントを明確にする必要があることは明らかですが、このドキュメントの推進力は、DNSセキュリティ拡張機能のエンジニアリングにありました[RFC4033]。ワイルドカードの不明確な定義により、認証された否定の設計が絡み合っていました。
This document is intended to limit its changes, documenting only those deemed necessary based on implementation experience, and to remain as close to the original document as possible. To reinforce that this document is meant to clarify and adjust and not redefine wildcards, relevant sections of RFC 1034 are repeated verbatim to facilitate comparison of the old and new text.
このドキュメントは、その変更を制限し、実装の経験に基づいて必要と思われるもののみを文書化し、可能な限り元のドキュメントに近いままであることを目的としています。このドキュメントは、ワイルドカードを再定義しないことを明確にして調整することを目的としていることを強化するために、RFC 1034の関連セクションが繰り返され、古いテキストと新しいテキストの比較を容易にします。
The definition of the wildcard concept is comprised by the documentation of the algorithm by which a name server prepares a response (in RFC 1034's section 4.3.2) and the way in which a resource record (set) is identified as being a source of synthetic data (section 4.3.3).
ワイルドカードの概念の定義は、名前サーバーが応答を準備するアルゴリズムのドキュメント(RFC 1034のセクション4.3.2)と、リソースレコード(セット)が合成のソースであると特定される方法で構成されています。データ(セクション4.3.3)。
This is the definition of the term "wildcard" as it appears in RFC 1034, section 4.3.3.
これは、RFC 1034、セクション4.3.3に表示される「ワイルドカード」という用語の定義です。
# In the previous algorithm, special treatment was given to RRs with # owner names starting with the label "*". Such RRs are called # wildcards. Wildcard RRs can be thought of as instructions for # synthesizing RRs. When the appropriate conditions are met, the # name server creates RRs with an owner name equal to the query name # and contents taken from the wildcard RRs.
#以前のアルゴリズムでは、ラベル「*」で始まる#所有者名でRRSに特別な治療が与えられました。このようなRRは#ワイルドカードと呼ばれます。ワイルドカードRRSは、#合成RRSの指示と考えることができます。適切な条件が満たされると、#name Serverは、クエリ名#とワイルドカードRRSから取得したコンテンツに等しい所有者名を持つRRSを作成します。
This passage follows the algorithm in which the term wildcard is first used. In this definition, wildcard refers to resource records. In other usage, wildcard has referred to domain names, and it has been used to describe the operational practice of relying on wildcards to generate answers. It is clear from this that there is a need to define clear and unambiguous terminology in the process of discussing wildcards.
このパッセージは、ワイルドカードという用語が最初に使用されるアルゴリズムに従います。この定義では、WildCardはリソースレコードを指します。他の使用法では、WildCardはドメイン名を参照しており、ワイルドカードに依存して回答を生成するという運用慣行を説明するために使用されています。これから、ワイルドカードについて議論する過程で明確で明確な用語を定義する必要があることは明らかです。
The mention of the use of wildcards in the preparation of a response is contained in step 3, part 'c' of RFC 1034's section 4.3.2, entitled "Algorithm". Note that "wildcard" does not appear in the algorithm, instead references are made to the "*" label. The portion of the algorithm relating to wildcards is deconstructed in detail in section 3 of this document; this is the beginning of the relevant portion of the "Algorithm".
応答の準備におけるワイルドカードの使用に関する言及は、「アルゴリズム」と題されたRFC 1034のセクション4.3.2のステップ3、「C」に含まれています。「ワイルドカード」はアルゴリズムに表示されないことに注意してください。代わりに、参照は「*」ラベルに作成されています。ワイルドカードに関連するアルゴリズムの部分は、このドキュメントのセクション3で詳細に分解されています。これは、「アルゴリズム」の関連部分の始まりです。
# c. If at some label, a match is impossible (i.e., the # corresponding label does not exist), look to see if [...] # the "*" label exists.
#c。あるラベルで一致が不可能(つまり、対応するラベルが存在しない)が不可能な場合、[...]#「*」ラベルが存在するかどうかを確認します。
The scope of this document is the RFC 1034 definition of wildcards and the implications of updates to those documents, such as DNS Security (DNSSEC). Alternate schemes for synthesizing answers are not considered. (Note that there is no reference listed. No document is known to describe any alternate schemes, although there has been some mention of them in mailing lists.)
このドキュメントの範囲は、RFC 1034ワイルドカードの定義と、DNSセキュリティ(DNSSEC)などのドキュメントへの更新の意味です。回答を合成するための代替スキームは考慮されません。(リファレンスリストはありません。代替スキームを説明することは知られていませんが、メーリングリストにはそれらについて言及されています。)
This document accomplishes these three tasks.
このドキュメントは、これらの3つのタスクを達成します。
o Defines new terms
o 新しい用語を定義します
o Makes minor changes to avoid conflicting concepts
o 矛盾する概念を避けるために、わずかな変更を加えます
o Describes the actions of certain resource records as wildcards
o 特定のリソースレコードのアクションをワイルドカードとして説明しています
To help in discussing what resource records are wildcards, two terms will be defined: "asterisk label" and "wildcard domain name". These are defined in section 2.1.1.
リソースレコードがワイルドカードであるものを議論するのを支援するために、2つの用語が定義されます:「アスタリスクラベル」と「ワイルドカードドメイン名」。これらはセクション2.1.1で定義されています。
To assist in clarifying the role of wildcards in the name server algorithm in RFC 1034, section 4.3.2, "source of synthesis" and "closest encloser" are defined. These definitions are in section 3.3.1. "Label match" is defined in section 3.2.
RFC 1034の名前サーバーアルゴリズムにおけるワイルドカードの役割を明確にするのを支援するために、セクション4.3.2、「合成のソース」および「最も近い囲いeser」が定義されています。これらの定義はセクション3.3.1にあります。「ラベルマッチ」はセクション3.2で定義されています。
The new terms are used to make discussions of wildcards clearer. Terminology does not directly have an impact on implementations.
新しい用語は、ワイルドカードの議論をより明確にするために使用されます。用語は、実装に直接影響を与えません。
The definition of "existence" is changed superficially. This change will not be apparent to implementations; it is needed to make descriptions more precise. The change appears in section 2.2.3.
「存在」の定義は表面的に変更されます。この変更は実装には明らかではありません。説明をより正確にするために必要です。変更はセクション2.2.3に表示されます。
RFC 1034, section 4.3.3, seems to prohibit having two asterisk labels in a wildcard owner name. With this document, the restriction is removed entirely. This change and its implications are in section 2.1.3.
RFC 1034、セクション4.3.3は、ワイルドカードの所有者名に2つのアスタリスクラベルを持つことを禁止しているようです。このドキュメントを使用すると、制限は完全に削除されます。この変化とその意味はセクション2.1.3にあります。
The actions when a source of synthesis owns a CNAME RR are changed to mirror the actions if an exact match name owns a CNAME RR. This is an addition to the words in RFC 1034, section 4.3.2, step 3, part 'c'. The discussion of this is in section 3.3.3.
合成ソースがCNAME RRを所有している場合のアクションは、正確な一致名がCNAME RRを所有している場合のアクションをミラーリングするために変更されます。これは、RFC 1034、セクション4.3.2、ステップ3、パート「C」の単語への追加です。これの議論はセクション3.3.3にあります。
Only the latter change represents an impact to implementations. The definition of existence is not a protocol impact. The change to the restriction on names is unlikely to have an impact, as RFC 1034 contained no specification on when and how to enforce the restriction.
後者の変更のみが実装への影響を表します。存在の定義はプロトコルの影響ではありません。RFC 1034には、いつ、どのように制限を実施するかについての仕様が含まれていないため、名前の制限の変更は影響を与える可能性は低いです。
This document describes semantics of wildcard RRSets for "interesting" types as well as empty non-terminal wildcards. Understanding these situations in the context of wildcards has been clouded because these types incur special processing if they are the result of an exact match. This discussion is in section 4.
このドキュメントでは、「興味深い」タイプのワイルドカードrrsetのセマンティクスと、空の非末端ワイルドカードについて説明しています。これらのタイプが正確な一致の結果である場合、これらのタイプが特別な処理を受けるため、これらの状況をワイルドカードのコンテキストで理解することは曇っています。この議論はセクション4にあります。
These discussions do not have an implementation impact; they cover existing knowledge of the types, but to a greater level of detail.
これらの議論には実装の影響はありません。それらは、タイプの既存の知識をカバーしていますが、より多くの詳細をカバーしています。
This document does not use terms as defined in "Key words for use in RFCs to Indicate Requirement Levels" [RFC2119].
このドキュメントは、「要件レベルを示すためにRFCで使用するためのキーワード」[RFC2119]で定義されている用語を使用しません。
Quotations of RFC 1034 are denoted by a '#' at the start of the line. References to section "4.3.2" are assumed to refer to RFC 1034's section 4.3.2, simply titled "Algorithm".
RFC 1034の引用は、行の開始時の「#」で示されます。セクション「4.3.2」への参照は、「アルゴリズム」というタイトルのRFC 1034のセクション4.3.2を参照すると想定されています。
The syntax of a wildcard is the same as any other DNS resource record, across all classes and types. The only significant feature is the owner name.
ワイルドカードの構文は、すべてのクラスとタイプで他のDNSリソースレコードと同じです。唯一の重要な機能は、所有者名です。
Because wildcards are encoded as resource records with special names, they are included in zone transfers and incremental zone transfers [RFC1995] just as non-wildcard resource records are. This feature has been under appreciated until discussions on alternative approaches to wildcards appeared on mailing lists.
ワイルドカードは特別な名前のリソースレコードとしてエンコードされているため、非ワイルドカードのリソースレコードと同様に、ゾーン転送と増分ゾーン転送[RFC1995]に含まれています。この機能は、ワイルドカードへの代替アプローチに関する議論がメーリングリストに登場するまで、評価されています。
To provide a more accurate description of wildcards, the definition has to start with a discussion of the domain names that appear as owners. Two new terms are needed, "asterisk label" and "wildcard domain name".
ワイルドカードのより正確な説明を提供するには、定義は、所有者として表示されるドメイン名の議論から始めなければなりません。「アスタリスクラベル」と「ワイルドカードドメイン名」という2つの新しい用語が必要です。
A "wildcard domain name" is defined by having its initial (i.e., leftmost or least significant) label be, in binary format:
「ワイルドカードドメイン名」は、バイナリ形式で初期(つまり、左端または最も重要でない)ラベルを持つことによって定義されます。
0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)
0000 0001 0010 1010(バイナリ)= 0x01 0x2a(16進数)
The first octet is the normal label type and length for a 1-octet-long label, and the second octet is the ASCII representation [RFC20] for the '*' character.
最初のオクテットは、1-OCTETロングのラベルの通常のラベルタイプと長さであり、2番目のオクテットは「*」文字のASCII表現[RFC20]です。
A descriptive name of a label equaling that value is an "asterisk label".
その値が「アスタリスクラベル」と等しいラベルの記述名。
RFC 1034's definition of wildcard would be "a resource record owned by a wildcard domain name".
RFC 1034のワイルドカードの定義は、「ワイルドカードドメイン名が所有するリソースレコード」になります。
No label values other than that in section 2.1.1 are asterisk labels, hence names beginning with other labels are never wildcard domain names. Labels such as 'the*' and '**' are not asterisk labels, so these labels do not start wildcard domain names.
セクション2.1.1のラベル値以外のラベル値はアスタリスクラベルであるため、他のラベルから始まる名前は決してワイルドカードドメイン名ではありません。「*」や「**」などのラベルはアスタリスクラベルではないため、これらのラベルはワイルドカードドメイン名を開始しません。
In section 4.3.3, the following is stated:
セクション4.3.3では、以下を示します。
# .......................... The owner name of the wildcard RRs is
# of the form "*.<anydomain>", where <anydomain> is any domain name.
# <anydomain> should not contain other * labels......................
The restriction is now removed. The original documentation of it is incomplete and the restriction does not serve any purpose given years of operational experience.
制限が削除されました。それの元の文書は不完全であり、制限は長年の運用経験を考慮して目的を果たしません。
There are three possible reasons for putting the restriction in place, but none of the three has held up over time. One is that the restriction meant that there would never be subdomains of wildcard domain names, but the restriction as stated still permits "example.*.example." for instance. Another is that wildcard domain names are not intended to be empty non-terminals, but this situation does not disrupt the algorithm in 4.3.2. Finally, "nested" wildcard domain names are not ambiguous once the concept of the closest encloser had been documented.
制限を導入する理由は3つありますが、3つのいずれも時間の経過とともに持ちこたえていません。1つは、制限により、ワイルドカードドメイン名のサブドメインがないことを意味するが、記載されている制限はまだ「例」を許可していることを意味します。例えば。もう1つは、ワイルドカードドメイン名が空の非ターミナルであることを意図していないことですが、この状況は4.3.2でアルゴリズムを破壊しないことです。最後に、「ネストされた」ワイルドカードドメイン名は、最も近い囲いの概念が文書化された後、あいまいではありません。
A wildcard domain name can have subdomains. There is no need to inspect the subdomains to see if there is another asterisk label in any subdomain.
ワイルドカードドメイン名にはサブドメインがあります。サブドメインを検査して、サブドメインに別のアスタリスクラベルがあるかどうかを確認する必要はありません。
A wildcard domain name can be an empty non-terminal. (See the upcoming sections on empty non-terminals.) In this case, any lookup encountering it will terminate as would any empty non-terminal match.
ワイルドカードドメイン名は空の非ターミナルにすることができます。(空の非ターミナルに関する今後のセクションを参照してください。)この場合、それに遭遇するルックアップは、空の非ターミナルマッチと同様に終了します。
The notion that a domain name 'exists' is mentioned in the definition of wildcards. In section 4.3.3 of RFC 1034:
ドメイン名が「存在する」という概念は、ワイルドカードの定義で言及されています。RFC 1034のセクション4.3.3:
# Wildcard RRs do not apply: # ... # - When the query name or a name between the wildcard domain and # the query name is know[n] to exist. . . .
#WildCard RRSは適用されません:#...# - WildCardドメインと#の間のクエリ名または名前が存在することを知っている場合。。。。
"Existence" is therefore an important concept in the understanding of wildcards. Unfortunately, the definition of what exists, in RFC 1034, is unclear. So, in sections 2.2.2. and 2.2.3, another look is taken at the definition of existence.
したがって、「存在」は、ワイルドカードの理解における重要な概念です。残念ながら、RFC 1034に存在するものの定義は不明です。したがって、セクション2.2.2で。2.2.3では、存在の定義に別の外観が撮影されています。
To illustrate what is meant by existence consider this complete zone:
存在が意味することを説明するには、この完全なゾーンを考慮してください。
$ORIGIN example. example. 3600 IN SOA <SOA RDATA> example. 3600 NS ns.example.com. example. 3600 NS ns.example.net. *.example. 3600 TXT "this is a wildcard" *.example. 3600 MX 10 host1.example. sub.*.example. 3600 TXT "this is not a wildcard" host1.example. 3600 A 192.0.2.1 _ssh._tcp.host1.example. 3600 SRV <SRV RDATA> _ssh._tcp.host2.example. 3600 SRV <SRV RDATA> subdel.example. 3600 NS ns.example.com. subdel.example. 3600 NS ns.example.net.
$ originの例。例。SOA <SOA RDATA>の3600。3600 ns ns.example.com。例。3600 ns ns.example.net。*。例。3600 txt "これはワイルドカードです" *.example。3600 mx 10 host1.example。sub。*。例。3600 TXT「これはワイルドカードではありません」host1.example。3600 A 192.0.2.1 _ssh._tcp.host1.example。3600 SRV <SRV RDATA> _SSH._TCP.HOST2.example。3600 SRV <SRV RDATA> Subdel.example。3600 ns ns.example.com。Subdel.example。3600 ns ns.example.net。
A look at the domain names in a tree structure is helpful:
ツリー構造内のドメイン名を見ることは役立ちます:
|
-------------example------------
/ / \ \
/ / \ \
/ / \ \
* host1 host2 subdel
| | |
| | |
sub _tcp _tcp
| |
| |
_ssh _ssh
The following responses would be synthesized from one of the wildcards in the zone:
次の回答は、ゾーン内のワイルドカードの1つから合成されます。
QNAME=host3.example. QTYPE=MX, QCLASS=IN the answer will be a "host3.example. IN MX ..."
qname = host3.example。qtype = mx、qclass =答えは「host3.example。inmx ...」になります。
QNAME=host3.example. QTYPE=A, QCLASS=IN the answer will reflect "no error, but no data" because there is no A RR set at '*.example.'
qname = host3.example。qtype = a、qclass = nowsのqclass =は、「エラーなし、しかしデータなし」を反映します。なぜなら、 '*.example。
QNAME=foo.bar.example. QTYPE=TXT, QCLASS=IN the answer will be "foo.bar.example. IN TXT ..." because bar.example. does not exist, but the wildcard does.
qname = foo.bar.example。qtype = txt、qclass = nowsは「foo.bar.example。intxt ...」になります。存在しませんが、ワイルドカードは存在します。
The following responses would not be synthesized from any of the wildcards in the zone:
次の回答は、ゾーン内のワイルドカードのいずれからも合成されません。
QNAME=host1.example., QTYPE=MX, QCLASS=IN because host1.example. exists
qname = host1.example。、qtype = mx、qclass = host1.exampleのため。存在します
QNAME=sub.*.example., QTYPE=MX, QCLASS=IN
because sub.*.example. exists
QNAME=_telnet._tcp.host1.example., QTYPE=SRV, QCLASS=IN because _tcp.host1.example. exists (without data)
qname = _telnet._tcp.host1.example。、qtype = srv、qclass = in _tcp.host1.exampleのためです。存在する(データなし)
QNAME=host.subdel.example., QTYPE=A, QCLASS=IN because subdel.example. exists (and is a zone cut)
qname = host.subdel.example。、qtype = a、qclass = in subdel.example。存在する(そしてゾーンカットです)
QNAME=ghost.*.example., QTYPE=MX, QCLASS=IN
because *.example. exists
The final example highlights one common misconception about wildcards. A wildcard "blocks itself" in the sense that a wildcard does not match its own subdomains. That is, "*.example." does not match all names in the "example." zone; it fails to match the names below "*.example.". To cover names under "*.example.", another wildcard domain name is needed--"*.*.example."--which covers all but its own subdomains.
最後の例は、ワイルドカードに関する一般的な誤解を強調しています。ワイルドカードは、ワイルドカードが独自のサブドメインと一致しないという意味で「ブロック」します。つまり、「*.example。」「例」のすべての名前と一致するわけではありません。ゾーン;以下の名前を「*.example。」と一致させることができません。「*.example。」で名前をカバーするには、別のワイルドカードドメイン名が必要です - "*。*。例。" - それはそれ自体のサブドメインを除くすべてをカバーします。
Empty non-terminals [RFC2136, section 7.16] are domain names that own no resource records but have subdomains that do. In section 2.2.1, "_tcp.host1.example." is an example of an empty non-terminal name. Empty non-terminals are introduced by this text in section 3.1 of RFC 1034:
空の非ターミナル[RFC2136、セクション7.16]は、リソースレコードを所有していないが、サブドメインを持っているドメイン名です。セクション2.2.1、「_tcp.host1.example」では。空の非末端名の例です。空の非ターミナルは、RFC 1034のセクション3.1でこのテキストで紹介されます。
# The domain name space is a tree structure. Each node and leaf on # the tree corresponds to a resource set (which may be empty). The # domain system makes no distinctions between the uses of the # interior nodes and leaves, and this memo uses the term "node" to # refer to both.
#ドメイン名スペースはツリー構造です。#上の各ノードとリーフは、リソースセットに対応しています(空の可能性があります)。#ドメインシステムは、#インテリアノードと葉の使用を区別しません。このメモは、「ノード」という用語を使用して両方を参照します。
The parenthesized "which may be empty" specifies that empty non-terminals are explicitly recognized and that empty non-terminals "exist".
括弧付きの「空の可能性がある」とは、空の非ターミナルが明示的に認識され、空の非ターミナルが「存在する」ことを指定します。
Pedantically reading the above paragraph can lead to an interpretation that all possible domains exist--up to the suggested limit of 255 octets for a domain name [RFC1035]. For example, www.example. may have an A RR, and as far as is practically concerned, is a leaf of the domain tree. But the definition can be taken to mean that sub.www.example. also exists, albeit with no data. By extension, all possible domains exist, from the root on down.
上記の段落を順守して読むと、ドメイン名[RFC1035]の255オクテットの提案された制限に存在する可能性のあるすべてのドメインが存在するという解釈につながる可能性があります。たとえば、www.example。A RRがあり、実際に関係する限り、ドメインツリーの葉です。しかし、定義はそのsub.www.exampleを意味すると考えることができます。データはありませんが、存在します。拡張により、下のルートから可能なすべてのドメインが存在します。
As RFC 1034 also defines "an authoritative name error indicating that the name does not exist" in section 4.3.1, so this apparently is not the intent of the original definition, justifying the need for an updated definition in the next section.
RFC 1034はセクション4.3.1に「名前が存在しないことを示す権威ある名前エラー」も定義しているため、これは明らかに元の定義の意図ではなく、次のセクションで更新された定義の必要性を正当化します。
RFC 1034's wording is fixed by the following paragraph:
RFC 1034の文言は、次の段落によって修正されます。
The domain name space is a tree structure. Nodes in the tree either own at least one RRSet and/or have descendants that collectively own at least one RRSet. A node may exist with no RRSets only if it has descendants that do; this node is an empty non-terminal.
ドメイン名スペースはツリー構造です。ツリー内のノードは、少なくとも1つのRRSetを所有しているか、少なくとも1つのRRSetを共同で所有する子孫を持っています。rrsetsがない場合にのみ、ノードが存在する場合があります。このノードは空の非ターミナルです。
A node with no descendants is a leaf node. Empty leaf nodes do not exist.
子孫のないノードは、リーフノードです。空の葉のノードは存在しません。
Note that at a zone boundary, the domain name owns data, including the NS RR set. In the delegating zone, the NS RR set is not authoritative, but that is of no consequence here. The domain name owns data; therefore, it exists.
ゾーン境界では、ドメイン名がNS RRセットを含むデータを所有していることに注意してください。委任ゾーンでは、NS RRセットは信頼できるものではありませんが、ここでは結果はありません。ドメイン名はデータを所有しています。したがって、それは存在します。
When a wildcard domain name appears in a message's query section, no special processing occurs. An asterisk label in a query name only matches a single, corresponding asterisk label in the existing zone tree when the 4.3.2 algorithm is being followed.
メッセージのクエリセクションにワイルドカードドメイン名が表示されると、特別な処理は発生しません。クエリ名のアスタリスクラベルは、4.3.2アルゴリズムが順守されている場合、既存のゾーンツリーの単一の対応するアスタリスクラベルと一致します。
When a wildcard domain name appears in the resource data of a record, no special processing occurs. An asterisk label in that context literally means just an asterisk.
レコードのリソースデータにワイルドカードドメイン名が表示されると、特別な処理は発生しません。その文脈のアスタリスクラベルは、文字通りアスタリスクだけを意味します。
RFC 1034's description of how wildcards impact response generation is in its section 4.3.2. That passage contains the algorithm followed by a server in constructing a response. Within that algorithm, step 3, part 'c' defines the behavior of the wildcard.
RFC 1034のワイルドカードにどのように影響するかについての説明。セクション4.3.2にあります。そのパッセージには、アルゴリズムが続いて、応答を構築するサーバーが続きます。そのアルゴリズム内のステップ3、パート「C」は、ワイルドカードの動作を定義します。
The algorithm in section 4.3.2 is not intended to be pseudo-code; that is, its steps are not intended to be followed in strict order. The "algorithm" is a suggested means of implementing the requirements. As such, in step 3, parts 'a', 'b', and 'c' do not have to be implemented in that order, provided that the result of the implemented code is compliant with the protocol's specification.
セクション4.3.2のアルゴリズムは、擬似コードであることを意図したものではありません。つまり、そのステップは厳密に従うことを意図していません。「アルゴリズム」は、要件を実装する提案された手段です。そのため、ステップ3では、「A」、「B」、および「C」をその順序で実装する必要はありません。
Step 2 of section 4.3.2 reads:
セクション4.3.2のステップ2に読み取ります:
# 2. Search the available zones for the zone which is the nearest # ancestor to QNAME. If such a zone is found, go to step 3, # otherwise step 4.
#2。QNameに最も近い#祖先であるゾーンの使用可能なゾーンを検索します。そのようなゾーンが見つかった場合は、ステップ3に進みます。それ以外の場合はステップ4に進みます。
In this step, the most appropriate zone for the response is chosen. The significance of this step is that it means all of step 3 is being performed within one zone. This has significance when considering whether or not an SOA RR can ever be used for synthesis.
このステップでは、応答に最も適切なゾーンが選択されます。このステップの重要性は、ステップ3のすべてが1つのゾーン内で実行されていることを意味することです。これは、SOA RRを合成に使用できるかどうかを検討する際に重要です。
Step 3 is dominated by three parts, labeled 'a', 'b', and 'c'. But the beginning of the step is important and needs explanation.
ステップ3は、「a」、「b」、および「c」というラベルが付いた3つの部分で支配されています。しかし、ステップの始まりは重要であり、説明が必要です。
# 3. Start matching down, label by label, in the zone. The # matching process can terminate several ways:
#3。ゾーンでラベルごとに一致し始めます。#マッチングプロセスは、いくつかの方法を終了できます。
The word 'matching' refers to label matching. The concept is based in the view of the zone as the tree of existing names. The query name is considered to be an ordered sequence of labels--as if the name were a path from the root to the owner of the desired data (which it is--3rd paragraph of RFC 1034, section 3.1).
「マッチング」という言葉は、マッチングのラベルを指します。コンセプトは、既存の名前のツリーとしてゾーンのビューに基づいています。クエリ名は、順序付けられたラベルのシーケンスであると見なされます。これは、名前がルートから目的のデータの所有者へのパス(RFC 1034の3番目の段落、セクション3.1)のパスであるかのようです。
The process of label matching a query name ends in exactly one of three choices, the parts 'a', 'b', and 'c'. Either the name is found, the name is below a cut point, or the name is not found.
クエリ名と一致するラベルのプロセスは、パーツ「A」、「B」、および「C」の3つの選択肢の1つで終わります。名前が見つかったか、名前がカットポイントの下にあるか、名前が見つかりません。
Once one of the parts is chosen, the other parts are not considered (e.g., do not execute part 'c' and then change the execution path to finish in part 'b'). The process of label matching is also done independent of the query type (QTYPE).
パーツの1つが選択されると、他のパーツは考慮されません(たとえば、パーツ「C」を実行しないでください。次に、パート「B」で実行パスを変更します)。ラベルマッチングのプロセスも、クエリタイプ(QTYPE)とは無関係に行われます。
Parts 'a' and 'b' are not an issue for this clarification as they do not relate to record synthesis. Part 'a' is an exact match that results in an answer; part 'b' is a referral.
パーツ「A」と「B」は、記録統合に関連していないため、この明確化の問題ではありません。パート「A」は、答えをもたらす正確な一致です。パート「B」は紹介です。
The context of part 'c' is that the process of label matching the labels of the query name has resulted in a situation in which there is no corresponding label in the tree. It is as if the lookup has "fallen off the tree".
パート「C」のコンテキストは、クエリ名のラベルと一致するラベルのプロセスが、ツリーに対応するラベルがない状況になったということです。それはまるでルックアップが「木から落ちた」かのようです。
# c. If at some label, a match is impossible (i.e., the # corresponding label does not exist), look to see if [...] # the "*" label exists.
#c。あるラベルで一致が不可能(つまり、対応するラベルが存在しない)が不可能な場合、[...]#「*」ラベルが存在するかどうかを確認します。
To help describe the process of looking 'to see if [...] the "*" label exists' a term has been coined to describe the last domain (node) matched. The term is "closest encloser".
「*」ラベルが存在するかどうかを確認するプロセスを説明するために、一致した最後のドメイン(ノード)を記述するために用語が造られています。この用語は「最も近い囲い人」です。
The closest encloser is the node in the zone's tree of existing domain names that has the most labels matching the query name (consecutively, counting from the root label downward). Each match is a "label match" and the order of the labels is the same.
最も近いエンクローザーは、クエリ名と一致する最も多くのラベルを持つ既存のドメイン名のゾーンのツリーのノードです(ルートラベルから下向きにカウント)。各マッチは「ラベルマッチ」であり、ラベルの順序は同じです。
The closest encloser is, by definition, an existing name in the zone. The closest encloser might be an empty non-terminal or even be a wildcard domain name itself. In no circumstances is the closest encloser to be used to synthesize records for the current query.
最も近いエンクローザーは、定義上、ゾーン内の既存の名前です。最も近いエンクローザーは、空の非ターミナルであるか、ワイルドカードドメイン名自体である可能性があります。いかなる状況でも、現在のクエリのレコードを統合するために使用される最も近い封鎖者ではありません。
The source of synthesis is defined in the context of a query process as that wildcard domain name immediately descending from the closest encloser, provided that this wildcard domain name exists. "Immediately descending" means that the source of synthesis has a name of the form:
合成のソースは、このワイルドカードドメイン名が存在する場合、最も近いエンコーザーからすぐに下降するワイルドカードドメイン名が存在するため、クエリプロセスのコンテキストで定義されます。「すぐに下降」とは、合成源にフォームの名前があることを意味します。
<asterisk label>.<closest encloser>.
<アスタリスクラベル>。<最も近いエンクロージャー>。
A source of synthesis does not guarantee having a RRSet to use for synthesis. The source of synthesis could be an empty non-terminal.
合成のソースは、合成に使用するRRSetを持つことを保証するものではありません。合成の原因は、空の非ターミナルである可能性があります。
If the source of synthesis does not exist (not on the domain tree), there will be no wildcard synthesis. There is no search for an alternate.
合成源が存在しない場合(ドメインツリーではなく)、ワイルドカード合成はありません。代替の検索はありません。
The important concept is that for any given lookup process, there is at most one place at which wildcard synthetic records can be obtained. If the source of synthesis does not exist, the lookup terminates, and the lookup does not look for other wildcard records.
重要な概念は、特定のルックアッププロセスでは、最大でワイルドカード合成記録を取得できる場所が最大にあるということです。合成の原因が存在しない場合、ルックアップは終了し、ルックアップは他のワイルドカードレコードを探していません。
To illustrate, using the example zone in section 2.2.1 of this document, the following chart shows QNAMEs and the closest enclosers.
説明するために、このドキュメントのセクション2.2.1のサンプルゾーンを使用して、次のチャートにはQNamesと最も近いエンコーザーが示されています。
QNAME Closest Encloser Source of Synthesis host3.example. example. *.example. _telnet._tcp.host1.example. _tcp.host1.example. no source _dns._udp.host2.example. host2.example. no source _telnet._tcp.host3.example. example. *.example. _chat._udp.host3.example. example. *.example. foobar.*.example. *.example. no source
QName Synthesis host3.exampleの最も近いエンクローザーソース。例。*。例。_telnet._tcp.host1.example。_tcp.host1.example。ソース_dns._udp.host2.exampleなし。host2.example。ソース_telnet._tcp.host3.exampleなし。例。*。例。_chat._udp.host3.example。例。*。例。Foobar。*。例。*。例。ソースなし
RFC 1034 concludes part 'c' with this:
RFC 1034はこれでパート「C」を締めくくります。
# If the "*" label does not exist, check whether the name # we are looking for is the original QNAME in the query # or a name we have followed due to a CNAME. If the name # is original, set an authoritative name error in the # response and exit. Otherwise just exit. # # If the "*" label does exist, match RRs at that node # against QTYPE. If any match, copy them into the answer # section, but set the owner of the RR to be QNAME, and # not the node with the "*" label. Go to step 6.
#「*」ラベルが存在しない場合は、探している名前#がクエリ#の元のQNameであるか、CNAMEのために従った名前であるかどうかを確認してください。名前#がオリジナルの場合は、#応答と終了に権威ある名前エラーを設定します。それ以外の場合は、ただ終了します。##「*」ラベルが存在する場合は、そのノード#のRRをQTypeに対して一致させます。一致する場合は、回答#セクションにコピーしますが、RRの所有者をQNameに設定し、# ""*"ラベルのあるノードではありません。ステップ6に進みます。
The final paragraph covers the role of the QTYPE in the lookup process.
最終段落は、ルックアッププロセスにおけるQTYPEの役割をカバーしています。
Based on implementation feedback and similarities between part 'a' and part 'c', a change to this passage has been made.
パート「A」とパート「C」の実装フィードバックと類似性に基づいて、このパッセージの変更が行われました。
The change is to add the following text to part 'c' prior to the instructions to "go to step 6":
変更は、「ステップ6に進む」という指示の前に、次のテキストをパート「C」に追加することです。
If the data at the source of synthesis is a CNAME, and QTYPE doesn't match CNAME, copy the CNAME RR into the answer section of the response changing the owner name to the QNAME, change QNAME to the canonical name in the CNAME RR, and go back to step 1.
合成ソースのデータがcnameであり、qtypeがcnameと一致しない場合、所有者名をqnameに変更する応答の回答セクションにcname rrをコピーして、qnameをcname rrの標準名に変更します。ステップ1に戻ります。
This is essentially the same text in part 'a' covering the processing of CNAME RRSets.
これは、cname rrsetsの処理をカバーするパート「a」の本質的に同じテキストです。
Sections 2 and 3 of this document discuss wildcard synthesis with respect to names in the domain tree and ignore the impact of types. In this section, the implication of wildcards of specific types is discussed. The types covered are those that have proven to be the most difficult to understand. The types are SOA, NS, CNAME, DNAME, SRV, DS, NSEC, RRSIG, and "none", that is, empty non-terminal wildcard domain names.
このドキュメントのセクション2と3は、ドメインツリーの名前に関するワイルドカードの合成について説明し、タイプの影響を無視します。このセクションでは、特定のタイプのワイルドカードの意味について説明します。カバーされているタイプは、理解するのが最も難しいことが証明されたタイプです。タイプは、SOA、NS、CNAME、DNAME、SRV、DS、NSEC、RRSIG、および「なし」、つまり空の非末端ワイルドカードドメイン名です。
A wildcard domain name owning an SOA RRSet means that the domain is at the root of the zone (apex). The domain cannot be a source of synthesis because that is, by definition, a descendant node (of the closest encloser) and a zone apex is at the top of the zone.
SOA RRSTを所有するワイルドカードドメイン名は、ドメインがゾーン(頂点)の根元にあることを意味します。ドメインは、定義上、(最も近いエンコーザーの)子孫ノードとゾーンの頂点がゾーンの上部にあるため、合成の源にはなりません。
Although a wildcard domain name owning an SOA RRSet can never be a source of synthesis, there is no reason to forbid the ownership of an SOA RRSet.
SOA RRSetを所有するワイルドカードドメイン名は合成の源になることはありませんが、SOA RRSetの所有権を禁止する理由はありません。
For example, given this zone:
たとえば、このゾーンを考慮してください。
$ORIGIN *.example. @ 3600 IN SOA <SOA RDATA> 3600 NS ns1.example.com. 3600 NS ns1.example.net. www 3600 TXT "the www txt record"
$ origin *.example。@ 3600 in SOA <SOA RDATA> 3600 NS NS1.example.com。3600 NS NS1.example.net。www 3600 txt「www txtレコード」
A query for www.*.example.'s TXT record would still find the "the www txt record" answer. The asterisk label only becomes significant when section 4.3.2, step 3, part 'c' is in effect.
www。*アスタリスクラベルは、セクション4.3.2、ステップ3、パート「C」が有効な場合にのみ重要になります。
Of course, there would need to be a delegation in the parent zone, "example." for this to work too. This is covered in the next section.
もちろん、親ゾーンには「例」に代表団がある必要があります。これも機能するためです。これについては、次のセクションで説明します。
With the definition of DNSSEC [RFC4033, RFC4034, RFC4035] now in place, the semantics of a wildcard domain name owning an NS RRSet has come to be poorly defined. The dilemma relates to a conflict between the rules for synthesis in part 'c' and the fact that the resulting synthesis generates a record for which the zone is not authoritative. In a DNSSEC signed zone, the mechanics of signature management (generation and inclusion in a message) have become unclear.
DNSSEC [RFC4033、RFC4034、RFC4035]の定義により、NS RRSetを所有するワイルドカードドメイン名のセマンティクスは、不十分に定義されているようになりました。このジレンマは、パート「C」の合成の規則との間の対立と、結果として生じる合成がゾーンが権威ではない記録を生成するという事実に関連しています。DNSSEC署名ゾーンでは、署名管理の仕組み(メッセージへの生成と包含)が不明確になっています。
Salient points of the working group discussion on this topic are summarized in section 4.2.1.
このトピックに関するワーキンググループディスカッションの顕著なポイントは、セクション4.2.1にまとめられています。
As a result of these discussions, there is no definition given for wildcard domain names owning an NS RRSet. The semantics are left undefined until there is a clear need to have a set defined, and until there is a clear direction to proceed. Operationally, inclusion of wildcard NS RRSets in a zone is discouraged, but not barred.
これらの議論の結果、NS RRSetを所有するWildCardドメイン名に定義が与えられた定義はありません。セマンティクスは、設定を定義する必要がある必要があるまで、そして進行する明確な方向があるまで、未定義のままにされます。運用上、ゾーンにワイルドカードns rrsetsを含めることは落胆していますが、禁止されていません。
Prior to DNSSEC, a wildcard domain name owning a NS RRSet appeared to be workable, and there are some instances in which it is found in deployments using implementations that support this. Continuing to allow this in the specification is not tenable with DNSSEC. The reason is that the synthesis of the NS RRSet is being done in a zone that has delegated away the responsibility for the name. This "unauthorized" synthesis is not a problem for the base DNS protocol, but DNSSEC in affirming the authorization model for DNS exposes the problem.
DNSSECの前は、NS RRSTを所有するワイルドカードドメイン名が実行可能であるように見え、これをサポートする実装を使用して展開に見つかったいくつかのインスタンスがあります。仕様でこれを許可し続けることは、DNSSECではテナブルではありません。その理由は、NS RRSTの合成が、名前の責任を委任したゾーンで行われているためです。この「許可されていない」合成は、基本DNSプロトコルにとって問題ではありませんが、DNSの承認モデルを確認するDNSSECが問題を公開します。
Outright banning of wildcards of type NS is also untenable as the DNS protocol does not define how to handle "illegal" data. Implementations may choose not to load a zone, but there is no protocol definition. The lack of the definition is complicated by having to cover dynamic update [RFC2136] and zone transfers, as well as loading at the master server. The case of a client (resolver, caching server) getting a wildcard of type NS in a reply would also have to be considered.
DNSプロトコルは「違法な」データの処理方法を定義しないため、タイプNSのワイルドカードの完全な禁止も受け入れられません。実装はゾーンをロードしないことを選択する場合がありますが、プロトコル定義はありません。定義の欠如は、動的な更新[RFC2136]とゾーン転送をカバーしなければならないことと、マスターサーバーへのロードで複雑になります。クライアント(リゾルバー、キャッシングサーバー)の場合、タイプnsのワイルドカードを返信で取得する場合も考慮する必要があります。
Given the daunting challenge of a complete definition of how to ban such records, dealing with existing implementations that permit the records today is a further complication. There are uses of wildcard domain name owning NS RRSets.
そのような記録を禁止する方法の完全な定義の困難な挑戦を考えると、今日の記録を許可する既存の実装を扱うことは、さらに複雑です。ns rrsetsを所有するワイルドカードドメイン名の用途があります。
One compromise proposed would have redefined wildcards of type NS to not be used in synthesis, this compromise fell apart because it would have required significant edits to the DNSSEC signing and validation work. (Again, DNSSEC catches unauthorized data.)
提案された妥協点の1つは、タイプnsのワイルドカードを合成に使用しないように再定義することで、DNSSECの署名と検証作業の重要な編集が必要だったため、この妥協点はバラバラになりました。(繰り返しますが、DNSSECは不正データをキャッチします。)
With no clear consensus forming on the solution to this dilemma, and the realization that wildcards of type NS are a rarity in operations, the best course of action is to leave this open-ended until "it matters".
このジレンマの解決策に明確なコンセンサスが形成されていないため、タイプNSのワイルドカードが運用上の珍しいことであるという認識があるため、最善の行動は、「それが重要」になるまでこのオープンエンドを残すことです。
The issue of a CNAME RRSet owned by a wildcard domain name has prompted a suggested change to the last paragraph of step 3c of the algorithm in 4.3.2. The changed text appears in section 3.3.3 of this document.
ワイルドカードドメイン名が所有するcname rrsetの問題は、4.3.2のアルゴリズムのステップ3cの最後の段落への推奨変更を促しました。変更されたテキストは、このドキュメントのセクション3.3.3に表示されます。
Ownership of a DNAME [RFC2672] RRSet by a wildcard domain name represents a threat to the coherency of the DNS and is to be avoided or outright rejected. Such a DNAME RRSet represents non-deterministic synthesis of rules fed to different caches. As caches are fed the different rules (in an unpredictable manner) the caches will cease to be coherent. ("As caches are fed" refers to the storage in a cache of records obtained in responses by recursive or iterative servers.)
WildCardドメイン名によるDNAME [RFC2672] RRSETの所有権は、DNSの一貫性に対する脅威を表しており、回避または完全に拒否されることになります。このようなDNAME rrsetは、異なるキャッシュに供給されたルールの非決定的合成を表します。キャッシュが異なるルールを(予測不可能な方法で)供給されると、キャッシュは一貫性がなくなります。(「キャッシュが供給されるため」とは、再帰的または反復サーバーによる応答で得られたレコードのキャッシュのストレージを指します。)
For example, assume one cache, responding to a recursive request, obtains the following record:
たとえば、再帰リクエストに応答する1つのキャッシュを想定して、次の記録を取得します。
"a.b.example. DNAME foo.bar.example.net."
「a.b.example。dnamefoo.bar.example.net。」
and another cache obtains:
そして、別のキャッシュが取得します:
"b.example. DNAME foo.bar.example.net."
「b.example。dnamefoo.bar.example.net。」
both generated from the record:
どちらもレコードから生成されました:
"*.example. DNAME foo.bar.example.net."
「*.example。dnamefoo.bar.example.net。」
by an authoritative server.
権威あるサーバーによって。
The DNAME specification is not clear on whether DNAME records in a cache are used to rewrite queries. In some interpretations, the rewrite occurs; in others, it does not. Allowing for the occurrence of rewriting, queries for "sub.a.b.example. A" may be rewritten as "sub.foo.bar.tld. A" by the former caching server and may be rewritten as "sub.a.foo.bar.tld. A" by the latter. Coherency is lost, and an operational nightmare ensues.
DNAME仕様は、クエリの書き換えにキャッシュ内のDNAMEレコードを使用しているかどうかについて明確ではありません。いくつかの解釈では、書き直しが発生します。他の人では、そうではありません。書き換えの発生を可能にする、「sub.a.b.example。a」のクエリは、 "sub.foo.bar.tld。a"として書き換えられるかもしれません。.tld。a "後者による。一貫性が失われ、運用上の悪夢が続きます。
Another justification for a recommendation to avoid the use of wildcard DNAME records is the observation that such a record could synthesize a DNAME owned by "sub.foo.bar.example." and "foo.bar.example.". There is a restriction in the DNAME definition that no domain exist below a DNAME-owning domain; hence, the wildcard DNAME is to be avoided.
ワイルドカードDNAMEレコードの使用を回避するための推奨の別の正当化は、そのようなレコードが「sub.foo.bar.example」が所有するdnameを統合できるという観察です。および「foo.bar.example。」。DNAME定義には、DNAME所有ドメインの下にドメインが存在しないという制限があります。したがって、ワイルドカードDNAMEは回避されます。
The definition of the SRV RRset is RFC 2782 [RFC2782]. In the definition of the record, there is some confusion over the term "Name". The definition reads as follows:
SRV RRSTの定義はRFC 2782 [RFC2782]です。レコードの定義では、「名前」という用語について混乱があります。定義は次のように読み取られます。
# The format of the SRV RR ... # _Service._Proto.Name TTL Class SRV Priority Weight Port Target ... # Name # The domain this RR refers to. The SRV RR is unique in that the # name one searches for is not this name; the example near the end # shows this clearly.
#srv rr ...#_service._proto.name ttl class srv priority weight portターゲットの形式...#名前#ドメインこのRRが参照します。SRV RRは、1つの検索#名前がこの名前ではないという点でユニークです。終了#近くの例は、これをはっきりと示しています。
Do not confuse the definition "Name" with the owner name. That is, once removing the _Service and _Proto labels from the owner name of the SRV RRSet, what remains could be a wildcard domain name but this is immaterial to the SRV RRSet.
定義「名前」を所有者名と混同しないでください。つまり、SRV RRSetの所有者名から_Serviceおよび_Protoラベルを削除すると、WhatはWILDCARDドメイン名である可能性がありますが、これはSRV RRSetには重要ではありません。
For example, if an SRV record is the following:
たとえば、SRVレコードが次の場合:
_foo._udp.*.example. 10800 IN SRV 0 1 9 old-slow-box.example.
_foo._udp。*。例。10800 SRV 0 1 9 Old-Slow-Box.example。
*.example is a wildcard domain name and although it is the Name of the SRV RR, it is not the owner (domain name). The owner domain name is "_foo._udp.*.example.", which is not a wildcard domain name.
*.exampleはワイルドカードドメイン名であり、SRV RRの名前ですが、所有者(ドメイン名)ではありません。所有者ドメイン名は「_foo._udp。*。例」です。これはワイルドカードドメイン名ではありません。
A query for the SRV RRSet of "_foo._udp.bar.example." (class IN), will result in a match of the name "*.example." (assuming there is no bar.example.) and not a match of the SRV record shown. If there is no SRV RRSet at "*.example.", the answer section will reflect that (be empty or a CNAME RRset).
「_foo._udp.bar.example」のsrv rrsetのクエリ。(クラスイン)、「*.example」という名前の一致が発生します。(bar.exampleがないと仮定します。)表示されているSRVレコードの一致ではありません。「*.example。」にsrv rrsetがない場合、回答セクションはそれを反映します(空またはcname rrset)。
The confusion is likely based on the mixture of the specification of the SRV RR and the description of a "use case".
混乱は、SRV RRの仕様の混合と「ユースケース」の説明に基づいている可能性があります。
A DS RRSet owned by a wildcard domain name is meaningless and harmless. This statement is made in the context that an NS RRSet at a wildcard domain name is undefined. At a non-delegation point, a DS RRSet has no value (no corresponding DNSKEY RRSet will be used in DNSSEC validation). If there is a synthesized DS RRSet, it alone will not be very useful as it exists in the context of a delegation point.
ワイルドカードドメイン名が所有するDS RRSetは、意味がなく無害です。このステートメントは、ワイルドカードドメイン名のNS RRSetが未定義であるという文脈で作成されています。非決定点では、DS RRSetには値がありません(DNSSEC検証では対応するDNSKEY RRSETは使用されません)。合成されたDS RRSTがある場合、委任ポイントのコンテキストで存在するため、それだけではあまり役に立ちません。
Wildcard domain names in DNSSEC signed zones will have an NSEC RRSet. Synthesis of these records will only occur when the query exactly matches the record. Synthesized NSEC RRs will not be harmful as they will never be used in negative caching or to generate a negative response [RFC2308].
DNSSECの署名ゾーンのワイルドカードドメイン名には、NSEC RRSETがあります。これらのレコードの統合は、クエリがレコードと正確に一致する場合にのみ発生します。合成されたNSEC RRSは、負のキャッシングや負の応答を生成することは決してないため、有害ではありません[RFC2308]。
RRSIG records will be present at a wildcard domain name in a signed zone and will be synthesized along with data sought in a query. The fact that the owner name is synthesized is not a problem as the label count in the RRSIG will instruct the verifying code to ignore it.
RRSIGレコードは、署名ゾーンのワイルドカードドメイン名に存在し、クエリで求められているデータとともに合成されます。所有者名が合成されているという事実は、RRSIGのラベルカウントが検証コードに無視するように指示するため、問題ではありません。
If a source of synthesis is an empty non-terminal, then the response will be one of no error in the return code and no RRSet in the answer section.
合成のソースが空の非ターミナルである場合、応答は戻りコードにエラーなしで、回答セクションにrrsetがありません。
This document is refining the specifications to make it more likely that security can be added to DNS. No functional additions are being made, just refining what is considered proper to allow the DNS, security of the DNS, and extending the DNS to be more predictable.
このドキュメントは、セキュリティをDNSに追加できる可能性を高めるために、仕様を改良しています。機能的な追加は行われていません。DNS、DNSのセキュリティを許可し、DNSをより予測可能にするために適切と考えられるものを改良するだけです。
[RFC20] Cerf, V., "ASCII format for network interchange", RFC 20, October 1969.
[RFC20] Cerf、V。、「ネットワークインターチェンジ用ASCII形式」、RFC 20、1969年10月。
[RFC1034] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[RFC1034] Mockapetris、P。、「ドメイン名 - 概念と施設」、STD 13、RFC 1034、1987年11月。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[RFC1035] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[RFC1995] Ohta, M., "Incremental Zone Transfer in DNS", RFC 1995, August 1996.
[RFC1995] OHTA、M。、「DNSの増分ゾーン転送」、RFC 1995、1996年8月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2308] Andrews, M., "Negative Caching of DNS Queries (DNS NCACHE)", RFC 2308, March 1998.
[RFC2308] Andrews、M。、「DNSクエリの負のキャッシュ(DNS NCACHE)」、RFC 2308、1998年3月。
[RFC2672] Crawford, M., "Non-Terminal DNS Name Redirection", RFC 2672, August 1999.
[RFC2672] Crawford、M。、「非末端DNS名リダイレクト」、RFC 2672、1999年8月。
[RFC2782] Gulbrandsen, A., Vixie, P., and L. Esibov, "A DNS RR for specifying the location of services (DNS SRV)", RFC 2782, February 2000.
[RFC2782] Gulbrandsen、A.、Vixie、P。、およびL. Esibov、「サービスの場所を指定するためのDNS RR(DNS SRV)」、RFC 2782、2000年2月。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの紹介と要件」、RFC 4033、2005年3月。
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のリソースレコード」、RFC 4034、2005年3月。
[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[RFC4035] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張のプロトコル変更」、RFC 4035、2005年3月。
[RFC2136] Vixie, P., Thomson, S., Rekhter, Y., and J. Bound, "Dynamic Updates in the Domain Name System (DNS UPDATE)", RFC 2136, April 1997.
[RFC2136] Vixie、P.、Thomson、S.、Rekhter、Y。、およびJ. Bound、「ドメイン名システム(DNSアップデート)の動的更新」、RFC 2136、1997年4月。
This document represents the work of a large working group. The editor merely recorded its collective wisdom.
このドキュメントは、大規模なワーキンググループの作業を表しています。編集者は単にその集団的な知恵を記録しました。
Comments on this document can be sent to the editor or the mailing list for the DNSEXT WG, namedroppers@ops.ietf.org.
このドキュメントへのコメントは、DNSEXT WGの編集者またはメーリングリスト、namedroppers@ops.ietf.orgに送信できます。
Editor's Address
編集者のアドレス
Edward Lewis NeuStar 46000 Center Oak Plaza Sterling, VA 20166, US
エドワードルイスノイスター46000センターオークプラザスターリング、バージニア州20166、米国
Phone: +1-571-434-5468
EMail: ed.lewis@neustar.biz
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。