[要約] RFC 4956は、DNSセキュリティ(DNSSEC)のオプトインに関するガイドラインであり、DNSSECの導入を促進するための目的を持つ。
Network Working Group R. Arends Request for Comments: 4956 Nominet Category: Experimental M. Kosters D. Blacka VeriSign, Inc. July 2007
DNS Security (DNSSEC) Opt-In
DNSセキュリティ(DNSSEC)オプトイン
Status of This Memo
本文書の位置付け
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティの実験プロトコルを定義します。いかなる種類のインターネット標準を指定しません。改善のための議論と提案が要求されます。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
Abstract
概要
In the DNS security (DNSSEC) extensions, delegations to unsigned subzones are cryptographically secured. Maintaining this cryptography is not always practical or necessary. This document describes an experimental "Opt-In" model that allows administrators to omit this cryptography and manage the cost of adopting DNSSEC with large zones.
DNSセキュリティ(DNSSEC)拡張では、署名されていないサブゾーンの代表団が暗号化されています。この暗号化を維持することは、必ずしも実用的または必要ではありません。このドキュメントでは、管理者がこの暗号化を省略し、大きなゾーンでDNSSECを採用するコストを管理できるようにする実験的な「オプトイン」モデルについて説明します。
Table of Contents
目次
1. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2. Definitions and Terminology . . . . . . . . . . . . . . . . . 3 3. Experimental Status . . . . . . . . . . . . . . . . . . . . . 4 4. Protocol Additions . . . . . . . . . . . . . . . . . . . . . . 5 4.1. Server Considerations . . . . . . . . . . . . . . . . . . 6 4.1.1. Delegations Only . . . . . . . . . . . . . . . . . . . 6 4.1.2. Insecure Delegation Responses . . . . . . . . . . . . 6 4.1.3. Dynamic Update . . . . . . . . . . . . . . . . . . . . 6 4.2. Client Considerations . . . . . . . . . . . . . . . . . . 7 4.2.1. Delegations Only . . . . . . . . . . . . . . . . . . . 7 4.2.2. Validation Process Changes . . . . . . . . . . . . . . 7 4.2.3. NSEC Record Caching . . . . . . . . . . . . . . . . . 8 4.2.4. Use of the AD bit . . . . . . . . . . . . . . . . . . 8 5. Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6. Example . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 7. Transition Issues . . . . . . . . . . . . . . . . . . . . . . 11 8. Security Considerations . . . . . . . . . . . . . . . . . . . 11 9. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 13 10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 13 10.1. Normative References . . . . . . . . . . . . . . . . . . . 13 10.2. Informative References . . . . . . . . . . . . . . . . . . 13 Appendix A. Implementing Opt-In Using "Views" . . . . . . . . . . 15
The cost to cryptographically secure delegations to unsigned zones is high for large delegation-centric zones and zones where insecure delegations will be updated rapidly. For these zones, the costs of maintaining the NextSECure (NSEC) record chain may be extremely high relative to the gain of cryptographically authenticating existence of unsecured zones.
署名されていないゾーンに暗号化された代表団のコストは、不安定な代表団が急速に更新される大きな代表団中心のゾーンとゾーンで高くなります。これらのゾーンの場合、次のセクュア(NSEC)レコードチェーンを維持するコストは、暗号化されていないゾーンの暗号化的に認証される存在の増加に比べて非常に高い場合があります。
This document describes an experimental method of eliminating the superfluous cryptography present in secure delegations to unsigned zones. Using "Opt-In", a zone administrator can choose to remove insecure delegations from the NSEC chain. This is accomplished by extending the semantics of the NSEC record by using a redundant bit in the type map.
このドキュメントでは、安全な代表団に存在する余分なゾーンに存在する余分な暗号化を排除する実験的方法について説明します。「オプトイン」を使用して、ゾーン管理者は、NSECチェーンから安全でない代表団を削除することを選択できます。これは、タイプマップで冗長ビットを使用して、NSECレコードのセマンティクスを拡張することによって達成されます。
Throughout this document, familiarity with the DNS system (RFC 1035 [1]), DNS security extensions ([4], [5], and [6], referred to in this document as "standard DNSSEC"), and DNSSEC terminology (RFC 3090 [10]) is assumed.
このドキュメント全体で、DNSシステム(RFC 1035 [1])、DNSセキュリティ拡張機能([4]、[5]、および[6]に精通し、このドキュメントで「標準DNSEC」と呼ばれています)、およびDNSEC用語(DNSSEC用語(RFC 3090 [10])が想定されています。
The following abbreviations and terms are used in this document:
このドキュメントでは、次の略語と用語が使用されています。
RR: is used to refer to a DNS resource record.
RR:DNSリソースレコードを参照するために使用されます。
RRset: refers to a Resource Record Set, as defined by [8]. In this document, the RRset is also defined to include the covering RRSIG records, if any exist.
RRSet:[8]で定義されているリソースレコードセットを参照してください。このドキュメントでは、RRSETも定義されており、存在する場合はカバーRRSIGレコードを含めるように定義されています。
signed name: refers to a DNS name that has, at minimum, a (signed) NSEC record.
署名名:少なくとも(署名された)NSECレコードを持つDNS名を指します。
unsigned name: refers to a DNS name that does not (at least) have an NSEC record.
符号なしの名前:(少なくとも)NSECレコードを持っていないDNS名を指します。
covering NSEC record/RRset: is the NSEC record used to prove (non)existence of a particular name or RRset. This means that for a RRset or name 'N', the covering NSEC record has the name 'N', or has an owner name less than 'N' and "next" name greater than 'N'.
NSECレコード/RRSetのカバー:NSECレコードは、特定の名前またはRRSetの(非)存在を証明するために使用されています。これは、rrsetまたはname 'n'の場合、カバーするNSECレコードには「n」という名前があるか、「n」未満の所有者名が「n」よりも大きい「次の」名前があることを意味します。
delegation: refers to an NS RRset with a name different from the current zone apex (non-zone-apex), signifying a delegation to a subzone.
委任:現在のゾーン頂点(非ゾーンAPEX)とは異なる名前のNS RRSetを指し、サブゾーンの代表団を意味します。
secure delegation: refers to a signed name containing a delegation (NS RRset), and a signed DS RRset, signifying a delegation to a signed subzone.
安全な委任:代表団(NS RRSet)を含む署名済みの名前と署名されたDS RRSetを指し、署名されたサブゾーンへの代表団を意味します。
insecure delegation: refers to a signed name containing a delegation (NS RRset), but lacking a DS RRset, signifying a delegation to an unsigned subzone.
不安定な代表団:代表団(NS RRSet)を含む署名済みの名前を指しますが、DS RRSetがなく、署名されていないサブゾーンの代表団を意味します。
Opt-In insecure delegation: refers to an unsigned name containing only a delegation NS RRset. The covering NSEC record uses the Opt-In methodology described in this document.
オプトイン不安定な代表団:代表団NS RRSetのみを含む署名のない名前を指します。NSECレコードをカバーすると、このドキュメントで説明されているオプトイン方法が使用されます。
The key words "MUST, "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY, and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [2].
「必須」、「必須」、「必須」、「shall」、「shall」、「 "wuth" not "、" becommented "、" and "and" optional "は、RFC 2119 [2]で説明されているように解釈されます。
This document describes an EXPERIMENTAL extension to DNSSEC. It interoperates with non-experimental DNSSEC using the technique described in [7]. This experiment is identified with the following private algorithms (using algorithm 253):
このドキュメントでは、DNSSECの実験的拡張について説明しています。[7]で説明されている手法を使用して、非実験的DNSSECと相互運用します。この実験は、次のプライベートアルゴリズムで識別されます(アルゴリズム253を使用)。
"3.optin.verisignlabs.com": is an alias for DNSSEC algorithm 3, DSA, and
"3.optin.verisignlabs.com":DNSSECアルゴリズム3、DSA、および
"5.optin.verisignlabs.com": is an alias for DNSSEC algorithm 5, RSASHA1.
「5.optin.verisignlabs.com」:DNSSECアルゴリズム5、RSasha1のエイリアスです。
Servers wishing to sign and serve zones that utilize Opt-In MUST sign the zone with only one or more of these private algorithms and MUST NOT use any other algorithms.
オプトインを利用するゾーンに署名して提供するサーバーは、これらのプライベートアルゴリズムの1つ以上でゾーンに署名する必要があり、他のアルゴリズムを使用してはなりません。
Resolvers MUST NOT apply the Opt-In validation rules described in this document unless a zone is signed using one or more of these private algorithms.
リゾルバーは、これらのプライベートアルゴリズムの1つ以上を使用してゾーンが署名されていない限り、このドキュメントで説明されているオプトイン検証ルールを適用してはなりません。
This experimental protocol relaxes the restriction that validators MUST ignore the setting of the NSEC bit in the type map as specified in RFC 4035 [6] Section 5.4.
この実験的プロトコルは、RFC 4035 [6]セクション5.4で指定されているように、バリデーターがタイプマップのNSECビットの設定を無視する必要があるという制限を緩和します。
The remainder of this document assumes that the servers and resolvers involved are aware of and are involved in this experiment.
このドキュメントの残りの部分は、関係するサーバーとリゾルバーがこの実験を認識し、関与していることを前提としています。
In DNSSEC, delegation NS RRsets are not signed, but are instead accompanied by an NSEC RRset of the same name and (possibly) a DS record. The security status of the subzone is determined by the presence or absence of the DS RRset, cryptographically proven by the NSEC record. Opt-In expands this definition by allowing insecure delegations to exist within an otherwise signed zone without the corresponding NSEC record at the delegation's owner name. These insecure delegations are proven insecure by using a covering NSEC record.
DNSSECでは、代表団NS RRSetsは署名されていませんが、代わりに同じ名前のNSEC RRSETと(おそらく)DSレコードが添付されています。サブゾーンのセキュリティステータスは、NSECレコードによって暗号化されたDS RRSetの有無によって決定されます。Opt-inは、代表団の所有者名に対応するNSECレコードなしで、そうでなければ署名されたゾーン内に不安定な代表団が存在できるようにすることにより、この定義を展開します。これらの不安定な代表団は、カバーNSECレコードを使用することにより、不安定であることが証明されています。
Since this represents a change of the interpretation of NSEC records, resolvers must be able to distinguish between RFC standard DNSSEC NSEC records and Opt-In NSEC records. This is accomplished by "tagging" the NSEC records that cover (or potentially cover) insecure delegation nodes. This tag is indicated by the absence of the NSEC bit in the type map. Since the NSEC bit in the type map merely indicates the existence of the record itself, this bit is redundant and safe for use as a tag.
これはNSECレコードの解釈の変更を表しているため、ResolversはRFC標準DNSEC NSECレコードとオプトインNSECレコードを区別できる必要があります。これは、不安定な委任ノードをカバー(または潜在的にカバーする)NSECレコードを「タグ付け」することによって達成されます。このタグは、タイプマップにNSECビットがないことによって示されます。タイプマップのNSECビットは、レコード自体の存在を単に示しているだけなので、このビットはタグとして使用するために冗長で安全です。
An Opt-In tagged NSEC record does not assert the (non)existence of the delegations that it covers (except for a delegation with the same name). This allows for the addition or removal of these delegations without recalculating or resigning records in the NSEC chain. However, Opt-In tagged NSEC records do assert the (non)existence of other RRsets.
オプトインタグ付きNSECレコードは、それがカバーする代表団の(非)存在を主張しません(同じ名前の代表団を除く)。これにより、NSECチェーンでレコードを再計算または辞任することなく、これらの代表団の追加または除去が可能になります。ただし、オプトインタグ付きNSECレコードは、他のrrsetの(非)存在を主張します。
An Opt-In NSEC record MAY have the same name as an insecure delegation. In this case, the delegation is proven insecure by the lack of a DS bit in the type map, and the signed NSEC record does assert the existence of the delegation.
オプトインNSECレコードは、不安定な代表団と同じ名前を持つ場合があります。この場合、委任はタイプマップにDSビットがないことで不安定であることが証明されており、署名されたNSECレコードは代表団の存在を主張します。
Zones using Opt-In MAY contain a mixture of Opt-In tagged NSEC records and standard DNSSEC NSEC records. If an NSEC record is not Opt-In, there MUST NOT be any insecure delegations (or any other records) between it and the RRsets indicated by the 'next domain name' in the NSEC RDATA. If it is Opt-In, there MUST only be insecure delegations between it and the next node indicated by the 'next domain name' in the NSEC RDATA.
オプトインを使用したゾーンには、オプトインタグ付きNSECレコードと標準のDNSEC NSECレコードの混合物が含まれる場合があります。NSECレコードがオプトインでない場合、NSEC RDATAの「次のドメイン名」で示されているRRSetsとの間には、不安定な代表団(またはその他のレコード)がないはずです。オプトインの場合、NSEC RDATAの「次のドメイン名」で示される次のノードとの間には、不安定な代表団のみが必要です。
In summary,
要約すれば、
o An Opt-In NSEC type is identified by a zero-valued (or not-specified) NSEC bit in the type bit map of the NSEC record.
o オプトインNSECタイプは、NSECレコードのタイプビットマップのゼロ値(または指定されていない)NSECビットによって識別されます。
o A standard DNSSEC NSEC type is identified by a one-valued NSEC bit in the type bit map of the NSEC record.
o 標準のDNSSEC NSECタイプは、NSECレコードのタイプビットマップの1値のNSECビットによって識別されます。
and
と
o An Opt-In NSEC record does not assert the non-existence of a name between its owner name and "next" name, although it does assert that any name in this span MUST be an insecure delegation.
o オプトインNSECレコードは、所有者名と「次の」名前の間に名前が存在しないことを主張しませんが、このスパンの名前は不安定な代表団でなければならないと主張しています。
o An Opt-In NSEC record does assert the (non)existence of RRsets with the same owner name.
o オプトインNSECレコードは、同じ所有者名を持つRRSetの(非)存在を主張します。
Opt-In imposes some new requirements on authoritative DNS servers.
オプトインは、権威あるDNSサーバーにいくつかの新しい要件を課します。
This specification dictates that only insecure delegations may exist between the owner and "next" names of an Opt-In tagged NSEC record. Signing tools MUST NOT generate signed zones that violate this restriction. Servers MUST refuse to load and/or serve zones that violate this restriction. Servers also MUST reject AXFR or IXFR responses that violate this restriction.
この仕様は、所有者とオプトインタグ付きNSECレコードの「次の」名前との間には、安全でない代表団のみが存在する可能性があることを規定しています。署名ツールは、この制限に違反する署名ゾーンを生成してはなりません。サーバーは、この制限に違反するゾーンのロードおよび/またはサービスを拒否する必要があります。また、サーバーは、この制限に違反するAXFRまたはIXFR応答を拒否する必要があります。
When returning an Opt-In insecure delegation, the server MUST return the covering NSEC RRset in the Authority section.
オプトインの不安定な代表団を返すとき、サーバーは当局セクションのカバーNSEC RRSetを返す必要があります。
In standard DNSSEC, NSEC records already must be returned along with the insecure delegation. The primary difference that this proposal introduces is that the Opt-In tagged NSEC record will have a different owner name from the delegation RRset. This may require implementations to search for the covering NSEC RRset.
標準のDNSSECでは、NSECレコードは、不安定な代表団とともにすでに返される必要があります。この提案が導入する主な違いは、オプトインタグ付きNSECレコードには、代表団RRSetとは異なる所有者名があることです。これには、カバーNSEC RRSETを検索するための実装が必要になる場合があります。
Opt-In changes the semantics of Secure DNS Dynamic Update [9]. In particular, it introduces the need for rules that describe when to add or remove a delegation name from the NSEC chain. This document does not attempt to define these rules. Until these rules are defined, servers MUST NOT process DNS Dynamic Update requests against zones that use Opt-In NSEC records. Servers SHOULD return responses to update requests with RCODE=REFUSED.
オプトインは、安全なDNSダイナミックアップデートのセマンティクスを変更します[9]。特に、NSECチェーンから委任名をいつ追加または削除するかを説明するルールの必要性を導入します。このドキュメントは、これらのルールを定義しようとはしません。これらのルールが定義されるまで、サーバーはオプトインNSECレコードを使用するゾーンに対するDNS動的更新要求を処理してはなりません。サーバーは、rcode =拒否された更新リクエストへの応答を返す必要があります。
Opt-In imposes some new requirements on security-aware resolvers (caching or otherwise).
Opt-inは、セキュリティ認識リゾルバー(キャッシュまたはその他)にいくつかの新しい要件を課します。
As stated in Section 4.1 above, this specification restricts the namespace covered by Opt-In tagged NSEC records to insecure delegations only. Clients are not expected to take any special measures to enforce this restriction; instead, it forms an underlying assumption that clients may rely on.
上記のセクション4.1で述べたように、この仕様は、オプトインタグ付きNSECレコードでカバーされている名前空間を、委任のみを安全にするために制限します。クライアントは、この制限を実施するために特別な措置を講じることは期待されていません。代わりに、クライアントが依存する可能性があるという根本的な仮定を形成します。
This specification does not change the resolver's resolution algorithm. However, it does change the DNSSEC validation process.
この仕様では、Resolverの解像度アルゴリズムは変更されません。ただし、DNSSEC検証プロセスが変更されます。
Resolvers MUST be able to use Opt-In tagged NSEC records to cryptographically prove the validity and security status (as insecure) of a referral. Resolvers determine the security status of the referred-to zone as follows:
リゾルバーは、オプトインタグ付きNSECレコードを使用して、紹介の妥当性とセキュリティステータス(不安定な)を暗号化できることを証明できる必要があります。リゾルバーは、紹介されたゾーンのセキュリティステータスを次のように決定します。
o In standard DNSSEC, the security status is proven by the existence or absence of a DS RRset at the same name as the delegation. The existence of the DS RRset indicates that the referred-to zone is signed. The absence of the DS RRset is proven using a verified NSEC record of the same name that does not have the DS bit set in the type map. This NSEC record MAY also be tagged as Opt-In.
o 標準のDNSSECでは、セキュリティステータスは、代表団と同じ名前でDS RRSetの存在または不在によって証明されます。DS RRSTの存在は、参照されたゾーンが署名されていることを示します。DS RRSTの欠如は、タイプマップにDSビットが設定されていない同じ名前の検証されたNSECレコードを使用して証明されています。このNSECレコードは、オプトインとしてタグ付けされる場合があります。
o Using Opt-In, the security status is proven by the existence of a DS record (for signed) or the presence of a verified Opt-In tagged NSEC record that covers the delegation name. That is, the NSEC record does not have the NSEC bit set in the type map, and the delegation name falls between the NSEC's owner and "next" name.
o オプトインを使用すると、セキュリティステータスは、DSレコードの存在(署名)または委任名をカバーする検証済みのオプトインタグ付きNSECレコードの存在によって証明されます。つまり、NSECレコードにはタイプマップにNSECビットが設定されておらず、代表団の名前はNSECの所有者と「次の」名前の間にあります。
Using Opt-In does not substantially change the nature of following referrals within DNSSEC. At every delegation point, the resolver will have cryptographic proof that the referred-to subzone is signed or unsigned.
オプトインを使用しても、DNSSEC内の紹介の次の性質を大幅に変更しません。すべての委任ポイントで、リゾルバーには、参照されたサブゾーンが署名または署名されているという暗号化の証明があります。
Since queries for DS records are directed to the parent side of a zone cut (see [5], Section 5), negative responses to these queries may be covered by an Opt-In flagged NSEC record.
DSレコードのクエリはゾーンカットの親側に向けられているため([5]、セクション5を参照)、これらのクエリに対する否定的な応答は、オプトインフラグ付きNSECレコードでカバーされる場合があります。
Resolvers MUST be able to use Opt-In tagged NSEC records to cryptographically prove the validity and security status of negative responses to queries for DS records. In particular, a NOERROR/NODATA (i.e., RCODE=3, but the answer section is empty) response to a DS query may be proven by an Opt-In flagged covering NSEC record, rather than an NSEC record matching the query name.
リゾルバーは、オプトインタグ付きNSECレコードを使用して、DSレコードのクエリに対する否定的な応答の有効性とセキュリティステータスを暗号化できることを証明できる必要があります。特に、noerror/nodata(つまり、rcode = 3ですが、回答セクションは空です)DSクエリに対する応答は、クエリ名と一致するNSECレコードではなく、NSECレコードをカバーしたオプトインフラグが付けられたことで証明される場合があります。
Caching resolvers MUST be able to retrieve the appropriate covering Opt-In NSEC record when returning referrals that need them. This requirement differs from standard DNSSEC in that the covering NSEC will not have the same owner name as the delegation. Some implementations may have to use new methods for finding these NSEC records.
キャッシュリゾルバーは、それらを必要とする紹介を返すときに、適切なカバーのオプトインNSECレコードを取得できる必要があります。この要件は、カバーNSECが代表団と同じ所有者名を持たないという点で、標準のDNSSECとは異なります。一部の実装では、これらのNSECレコードを見つけるために新しい方法を使用する必要がある場合があります。
The AD bit, as defined by [3] and [6], MUST NOT be set when:
[3]と[6]で定義されている広告ビットは、次のときに設定してはなりません。
o sending a Name Error (RCODE=3) response where the covering NSEC is tagged as Opt-In.
o NSECのカバーがオプトインとしてタグ付けされている場合、名前エラー(rcode = 3)の応答を送信します。
o sending an Opt-In insecure delegation response, unless the covering (Opt-In) NSEC record's owner name equals the delegation name.
o カバー(オプトイン)NSECレコードの所有者名が委任名に等しくない限り、オプトイン不安定な委任応答を送信します。
o sending a NOERROR/NODATA response when query type is DS and the covering NSEC is tagged as Opt-In, unless NSEC record's owner name matches the query name.
o NSECレコードの所有者名がクエリ名と一致しない限り、クエリタイプがDSであり、カバーNSECがオプトインとしてタグ付けされている場合、クエリタイプがDSである場合、NOERROR/NODATA応答を送信します。
This rule is based on what the Opt-In NSEC record actually proves: for names that exist between the Opt-In NSEC record's owner and "next" names, the Opt-In NSEC record cannot prove the non-existence or existence of the name. As such, not all data in the response has been cryptographically verified, so the AD bit cannot be set.
このルールは、オプトインNSECレコードが実際に証明するものに基づいています。オプトインNSECレコードの所有者と「次の」名前の間に存在する名前の場合、オプトインNSECレコードは名前の非存在または存在を証明できません。そのため、応答のすべてのデータが暗号化されているわけではないため、ADビットを設定できません。
Using Opt-In allows administrators of large and/or changing delegation-centric zones to minimize the overhead involved in maintaining the security of the zone.
オプトインを使用すると、委任中心の大規模ゾーンおよび/または変更の管理者がゾーンのセキュリティの維持に伴うオーバーヘッドを最小限に抑えることができます。
Opt-In accomplishes this by eliminating the need for NSEC records for insecure delegations. This, in a zone with a large number of delegations to unsigned subzones, can lead to substantial space savings (both in memory and on disk). Additionally, Opt-In allows for the addition or removal of insecure delegations without modifying the NSEC record chain. Zones that are frequently updating insecure delegations (e.g., Top-Level Domains (TLDs)) can avoid the substantial overhead of modifying and resigning the affected NSEC records.
オプトインは、安全でない委任のためのNSECレコードの必要性を排除することにより、これを達成します。これは、署名されていないサブゾーンから多数の代表団があるゾーンでは、大幅なスペース節約(メモリとディスクの両方)につながる可能性があります。さらに、オプトインにより、NSECレコードチェーンを変更せずに、不安定な代表団の追加または除去が可能になります。不安定な代表団(トップレベルのドメイン(TLD)など)を頻繁に更新しているゾーンは、影響を受けるNSECレコードを変更および辞任するかなりのオーバーヘッドを回避できます。
Consider the zone EXAMPLE shown below. This is a zone where all of the NSEC records are tagged as Opt-In.
以下に示すゾーンの例を考えてください。これは、すべてのNSECレコードがオプトインとしてタグ付けされるゾーンです。
Example A: Fully Opt-In Zone.
例A:完全にオプトインゾーン。
EXAMPLE. SOA ... EXAMPLE. RRSIG SOA ... EXAMPLE. NS FIRST-SECURE.EXAMPLE. EXAMPLE. RRSIG NS ... EXAMPLE. DNSKEY ... EXAMPLE. RRSIG DNSKEY ... EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. ( SOA NS RRSIG DNSKEY ) EXAMPLE. RRSIG NSEC ...
例。SOA ...例。rrsig soa ...例。nsファーストセキュアの例。例。rrsig ns ...例。dnskey ...例。rrsig dnskey ...例。NSEC First-Secure.example。(soa ns rrsig dnskey)例。rrsig nsec ...
FIRST-SECURE.EXAMPLE. A ... FIRST-SECURE.EXAMPLE. RRSIG A ... FIRST-SECURE.EXAMPLE. NSEC NOT-SECURE-2.EXAMPLE. A RRSIG FIRST-SECURE.EXAMPLE. RRSIG NSEC ...
First-Secure.example。A ... First-Secure.example。rrsig a ... first-secure.example。NSEC Not-Secure-2.example。rrsig first-secure.example。rrsig nsec ...
NOT-SECURE.EXAMPLE. NS NS.NOT-SECURE.EXAMPLE. NS.NOT-SECURE.EXAMPLE. A ...
not-secure.example。ns ns.not-secure.example。ns.not-secure.example。...
NOT-SECURE-2.EXAMPLE. NS NS.NOT-SECURE.EXAMPLE. NOT-SECURE-2.EXAMPLE NSEC SECOND-SECURE.EXAMPLE NS RRSIG NOT-SECURE-2.EXAMPLE RRSIG NSEC ...
非セキュア-2.example。ns ns.not-secure.example。not-secure-2.example nsec second-secure.example ns rrsig not-secure-2.example rrsig nsec ...
SECOND-SECURE.EXAMPLE. NS NS.ELSEWHERE. SECOND-SECURE.EXAMPLE. DS ... SECOND-SECURE.EXAMPLE. RRSIG DS ... SECOND-SECURE.EXAMPLE. NSEC EXAMPLE. NS RRSIG DNSKEY SECOND-SECURE.EXAMPLE. RRSIG NSEC ...
Second-secure.example。ns ns.elsewhere。Second-secure.example。DS ... Second-Secure.example。rrsig ds ... second-secure.example。NSECの例。ns rrsig dnskey second-secure.example。rrsig nsec ...
UNSIGNED.EXAMPLE. NS NS.UNSIGNED.EXAMPLE. NS.UNSIGNED.EXAMPLE. A ...
unsigned.example。ns ns.unsigned.example。ns.unsigned.example。...
Example A.
例A.
In this example, a query for a signed RRset (e.g., "FIRST-SECURE.EXAMPLE A") or a secure delegation ("WWW.SECOND-SECURE.EXAMPLE A") will result in a standard DNSSEC response.
この例では、署名されたrrset(例: "First-secure.example a")または安全な代表団( "www.second-secure.example a")のクエリは、標準のDNSSEC応答をもたらします。
A query for a nonexistent RRset will result in a response that differs from standard DNSSEC by the following: the NSEC record will be tagged as Opt-In, there may be no NSEC record proving the non-existence of a matching wildcard record, and the AD bit will not be set.
存在しないRRSETのクエリは、次の標準DNSSECとは異なる応答になります。NSECレコードはオプトインとしてタグ付けされます。広告ビットは設定されません。
A query for an insecure delegation RRset (or a referral) will return both the answer (in the Authority section) and the corresponding Opt-In NSEC record to prove that it is not secure.
安全でない代表団RRSet(または紹介)のクエリは、(当局セクション)と対応するオプトインNSECレコードの両方を返し、安全でないことを証明します。
Example A.1: Response to query for WWW.UNSIGNED.EXAMPLE. A
例A.1:www.unsigned.exampleのクエリへの応答。a
RCODE=NOERROR, AD=0
rcode = noerror、ad = 0
Answer Section:
回答セクション:
Authority Section: UNSIGNED.EXAMPLE. NS NS.UNSIGNED.EXAMPLE SECOND-SECURE.EXAMPLE. NSEC EXAMPLE. NS RRSIG DS SECOND-SECURE.EXAMPLE. RRSIG NSEC ...
権限セクション:unsigned.example。ns ns.unsigned.example second-secure.example。NSECの例。ns rrsig ds second-secure.example。rrsig nsec ...
Additional Section: NS.UNSIGNED.EXAMPLE. A ...
追加セクション:ns.unsigned.example。...
Example A.1
例A.1
In the Example A.1 zone, the EXAMPLE. node MAY use either style of NSEC record, because there are no insecure delegations that occur between it and the next node, FIRST-SECURE.EXAMPLE. In other words, Example A would still be a valid zone if the NSEC record for EXAMPLE. was changed to the following RR:
例A.1ゾーンでは、例。ノードは、NSECレコードのスタイルを使用する場合があります。これは、それと次のノード、First-Secure.exampleの間に発生する安全でない委任がないためです。言い換えれば、たとえばNSECが記録している場合、例aは依然として有効なゾーンになります。次のRRに変更されました。
EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. (SOA NS RRSIG DNSKEY NSEC )
例。NSEC First-Secure.example。(soa ns rrsig dnskey nsec)
However, the other NSEC records (FIRST-SECURE.EXAMPLE. and SECOND-SECURE.EXAMPLE.) MUST be tagged as Opt-In because there are insecure delegations in the range they define. (NOT-SECURE.EXAMPLE. and UNSIGNED.EXAMPLE., respectively).
ただし、他のNSECレコード(First-Secure.example。(not-secure.example。およびunsigned.example。、それぞれ)。
NOT-SECURE-2.EXAMPLE. is an example of an insecure delegation that is part of the NSEC chain and also covered by an Opt-In tagged NSEC record. Because NOT-SECURE-2.EXAMPLE. is a signed name, it cannot be removed from the zone without modifying and resigning the prior NSEC record. Delegations with names that fall between NOT-SECURE-2.EXAMPLE. and SECOND-SECURE.EXAMPLE. may be added or removed without resigning any NSEC records.
非セキュア-2.example。NSECチェーンの一部であり、オプトインタグ付きNSECレコードの一部である不安定な代表団の例です。非セキュア-2.exampleのためです。署名された名前であり、以前のNSECレコードを変更および辞任せずにゾーンから削除することはできません。非セキュア-2.exampleの間に該当する名前の代表団。およびSecond-Secure.example。NSECレコードを履歴せずに追加または削除することができます。
Opt-In is not backwards compatible with standard DNSSEC and is considered experimental. Standard DNSSEC-compliant implementations would not recognize Opt-In tagged NSEC records as different from standard NSEC records. Because of this, standard DNSSEC implementations, if they were to validate Opt-In style responses, would reject all Opt-In insecure delegations within a zone as invalid. However, by only signing with private algorithms, standard DNSSEC implementations will treat Opt-In responses as unsigned.
オプトインは、標準のDNSSECとの後方互換性がなく、実験的と見なされます。標準のDNSECに準拠した実装では、オプトインタグ付きNSECレコードが標準のNSECレコードとは異なるものとして認識されません。このため、標準のDNSSEC実装は、オプトインスタイルの応答を検証する場合、ゾーン内のすべてのオプトイン不安定な代表団を無効と拒否します。ただし、プライベートアルゴリズムのみに署名することにより、標準のDNSSEC実装は、オプトイン応答を符号なしで扱います。
It should be noted that all elements in the resolution path between (and including) the validator and the authoritative name server must be aware of the Opt-In experiment and implement the Opt-In semantics for successful validation to be possible. In particular, this includes any caching middleboxes between the validator and authoritative name server.
VALIDATORと信頼できる名前サーバーの間(および含める)解像度パス内のすべての要素がオプトイン実験を認識し、検証を成功させるためにオプトインセマンティクスを実装する必要があることに注意してください。特に、これには、バリデーターと権威ある名前サーバーの間のキャッシュミドルボックスが含まれます。
Opt-In allows for unsigned names, in the form of delegations to unsigned subzones, to exist within an otherwise signed zone. All unsigned names are, by definition, insecure, and their validity or existence cannot be cryptographically proven.
オプトインにより、署名されていないサブゾーンの代表団の形式で、署名されていないサブゾーンに署名されていないゾーン内に存在するようになります。定義上、すべての署名のない名前は安全ではなく、その有効性または存在を暗号化することはできません。
In general:
一般に:
o Records with unsigned names (whether or not existing) suffer from the same vulnerabilities as records in an unsigned zone. These vulnerabilities are described in more detail in [12] (note in particular Sections 2.3, "Name Games" and 2.6, "Authenticated Denial").
o 署名されていない名前のレコード(既存のかどうかにかかわらず)は、署名されていないゾーンでのレコードと同じ脆弱性に苦しんでいます。これらの脆弱性については、[12]で詳しく説明しています(特にセクション2.3、「Name Games」および2.6、「認証された拒否」)。
o Records with signed names have the same security whether or not Opt-In is used.
o 署名された名前のレコードには、オプトインが使用されるかどうかにかかわらず、同じセキュリティがあります。
Note that with or without Opt-In, an insecure delegation may have its contents undetectably altered by an attacker. Because of this, the primary difference in security that Opt-In introduces is the loss of the ability to prove the existence or nonexistence of an insecure delegation within the span of an Opt-In NSEC record.
オプトインの有無にかかわらず、不安定な代表団は、攻撃者によって検出不要に変更される可能性があることに注意してください。このため、オプトインが導入するセキュリティの主な違いは、オプトインNSECレコードの範囲内で、不安定な代表団の存在または非存在を証明する能力の喪失です。
In particular, this means that a malicious entity may be able to insert or delete records with unsigned names. These records are normally NS records, but this also includes signed wildcard expansions (while the wildcard record itself is signed, its expanded name is an unsigned name), which can be undetectably removed or used to replace an existing unsigned delegation.
特に、これは悪意のあるエンティティが、署名されていない名前でレコードを挿入または削除できることを意味します。これらのレコードは通常NSレコードですが、これには署名されたワイルドカード拡張も含まれます(ワイルドカードレコード自体が署名されている間、その拡張名は署名されていない名前です)。
For example, if a resolver received the following response from the example zone above:
たとえば、リゾルバーが上記のサンプルゾーンから次の回答を受け取った場合:
Example S.1: Response to query for WWW.DOES-NOT-EXIST.EXAMPLE. A
例S.1:www.does-not-exist.exampleのクエリへの応答。a
RCODE=NOERROR
rcode = noerror
Answer Section:
回答セクション:
Authority Section: DOES-NOT-EXIST.EXAMPLE. NS NS.FORGED. EXAMPLE. NSEC FIRST-SECURE.EXAMPLE. SOA NS \ RRSIG DNSKEY EXAMPLE. RRSIG NSEC ...
権限セクション:do-not-exist.example。ns ns.forged。例。NSEC First-Secure.example。soa ns \ rrsig dnskeyの例。rrsig nsec ...
Additional Section:
追加セクション:
Attacker has forged a name
攻撃者は名前を偽造しました
The resolver would have no choice but to believe that the referral to NS.FORGED. is valid. If a wildcard existed that would have been expanded to cover "WWW.DOES-NOT-EXIST.EXAMPLE.", an attacker could have undetectably removed it and replaced it with the forged delegation.
リゾルバーは、ns.forgedへの紹介を信じるしかありません。有効です。「www.does-not-exist.example」をカバーするために拡張されていたワイルドカードが存在した場合、攻撃者はそれを不可避的に削除し、偽造代表団に置き換えることができたでしょう。
Note that being able to add a delegation is functionally equivalent to being able to add any record type: an attacker merely has to forge a delegation to the nameserver under his/her control and place whatever records are needed at the subzone apex.
代表団を追加できることは、任意のレコードタイプを追加できることと機能的に同等です。攻撃者は、自分のコントロールの下で名前サーバーに代表団を偽造し、サブゾーンの頂点に必要なレコードを配置する必要があります。
While in particular cases, this issue may not present a significant security problem, in general it should not be lightly dismissed. Therefore, it is strongly RECOMMENDED that Opt-In be used sparingly. In particular, zone signing tools SHOULD NOT default to Opt-In, and MAY choose not to support Opt-In at all.
特にケースでは、この問題は重大なセキュリティの問題を提示しない可能性がありますが、一般に軽く却下するべきではありません。したがって、オプトインを控えめに使用することを強くお勧めします。特に、ゾーン署名ツールはデフォルトでオプトインするべきではなく、オプトインをまったくサポートしないことを選択する場合があります。
The contributions, suggestions, and remarks of the following persons (in alphabetic order) to this document are acknowledged:
この文書への次の人物(アルファベット順)の貢献、提案、および発言は認められています。
Mats Kolkman, Edward Lewis, Ted Lindgreen, Rip Loomis, Bill Manning, Dan Massey, Scott Rose, Mike Schiraldi, Jakob Schlyter, Brian Wellington.
マット・コルマン、エドワード・ルイス、テッド・リンドグリーン、リップ・ルーミス、ビル・マニング、ダン・マッシー、スコット・ローズ、マイク・シラルディ、ヤコブ・シュライター、ブライアン・ウェリントン。
[1] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[1] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[2] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[2] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[3] Wellington, B. and O. Gudmundsson, "Redefinition of DNS Authenticated Data (AD) bit", RFC 3655, November 2003.
[3] Wellington、B。およびO. Gudmundsson、「DNS認証データ(AD)BITの再定義」、RFC 3655、2003年11月。
[4] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[4] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの紹介と要件」、RFC 4033、2005年3月。
[5] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[5] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張のリソースレコード」、RFC 4034、2005年3月。
[6] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[6] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のプロトコル変更」、RFC 4035、2005年3月。
[7] Blacka, D., "DNSSEC Experiments", RFC 4955, July 2007.
[7] Blacka、D。、「DNSSEC実験」、RFC 4955、2007年7月。
[8] Elz, R. and R. Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997.
[8] Elz、R。、およびR. Bush、「DNS仕様の説明」、RFC 2181、1997年7月。
[9] Wellington, B., "Secure Domain Name System (DNS) Dynamic Update", RFC 3007, November 2000.
[9] ウェリントン、B。、「セキュアドメイン名システム(DNS)動的更新」、RFC 3007、2000年11月。
[10] Lewis, E., "DNS Security Extension Clarification on Zone Status", RFC 3090, March 2001.
[10] Lewis、E。、「ゾーンステータスに関するDNSセキュリティ拡張の明確化」、RFC 3090、2001年3月。
[11] Conrad, D., "Indicating Resolver Support of DNSSEC", RFC 3225, December 2001.
[11] コンラッド、D。、「DNSSECのリゾルバーサポートを示す」、RFC 3225、2001年12月。
[12] Atkins, D. and R. Austein, "Threat Analysis of the Domain Name System (DNS)", RFC 3833, August 2004.
[12] Atkins、D。およびR. Austein、「ドメイン名システムの脅威分析(DNS)」、RFC 3833、2004年8月。
Appendix A. Implementing Opt-In Using "Views"
付録A. 「ビュー」を使用してオプトインの実装
In many cases, it may be convenient to implement an Opt-In zone by combining two separately maintained "views" of a zone at request time. In this context, "view" refers to a particular version of a zone, not to any specific DNS implementation feature.
多くの場合、リクエスト時にゾーンの2つの個別に維持されている「ビュー」を組み合わせることにより、オプトインゾーンを実装するのが便利かもしれません。これに関連して、「ビュー」とは、特定のDNS実装機能ではなく、ゾーンの特定のバージョンを指します。
In this scenario, one view is the secure view, the other is the insecure (or legacy) view. The secure view consists of an entirely signed zone using Opt-In tagged NSEC records. The insecure view contains no DNSSEC information. It is helpful, although not necessary, for the secure view to be a subset (minus DNSSEC records) of the insecure view.
このシナリオでは、1つのビューは安全なビューで、もう1つは安全でない(またはレガシー)ビューです。安全なビューは、オプトインタグ付きNSECレコードを使用した完全に署名されたゾーンで構成されています。不安定なビューには、DNSSEC情報が含まれていません。安全なビューは、安全でないビューのサブセット(MINUS DNSSECレコード)であることが必要ではありませんが、役立ちます。
In addition, the only RRsets that may solely exist in the insecure view are non-zone-apex NS RRsets. That is, all non-NS RRsets (and the zone apex NS RRset) MUST be signed and in the secure view.
さらに、不安定なビューにのみ存在する可能性のある唯一のrrsetは、ゾーン以外のns rrsetsです。つまり、すべての非NS rrsets(およびゾーンアペックスns rrset)に署名し、安全なビューで署名する必要があります。
These two views may be combined at request time to provide a virtual, single Opt-In zone. The following algorithm is used when responding to each query:
これらの2つのビューは、仮想の単一オプトインゾーンを提供するために、リクエスト時に組み合わせることができます。各クエリに応答するときに、次のアルゴリズムが使用されます。
V_A is the secure view as described above.
V_Aは、上記のように安全なビューです。
V_B is the insecure view as described above.
V_Bは、上記のように不安定なビューです。
R_A is a response generated from V_A, following standard DNSSEC.
R_Aは、標準のDNSSECに従って、V_Aから生成された応答です。
R_B is a response generated from V_B, following DNS resolution as per RFC 1035 [1].
R_Bは、RFC 1035 [1]に従ってDNS解像度に続いて、V_Bから生成された応答です。
R_C is the response generated by combining R_A with R_B, as described below.
R_Cは、以下で説明するように、R_AとR_Bを組み合わせることにより生成される応答です。
A query is DNSSEC-aware if it either has the DO bit [11] turned on or is for a DNSSEC-specific record type.
DO BIT [11]がオンになっているか、DNSSEC固有のレコードタイプを使用している場合、クエリはDNSSECに対応します。
1. If V_A is a subset of V_B and the query is not DNSSEC-aware, generate and return R_B, otherwise
1. V_AがV_Bのサブセットであり、クエリがDNSSECに触れていない場合、R_Bを生成して戻します。
2. Generate R_A.
2. R_Aを生成します。
3. If R_A's RCODE != NXDOMAIN, return R_A, otherwise 4. Generate R_B and combine it with R_A to form R_C:
3. r_aのrcode!= nxdomain、r_aを返し、4。R_Bを生成し、R_Aを組み合わせてR_Cを形成します。
For each section (ANSWER, AUTHORITY, ADDITIONAL), copy the records from R_A into R_B, EXCEPT the AUTHORITY section SOA record, if R_B's RCODE = NOERROR.
各セクション(回答、権限、追加)について、R_Bのrcode = noerrorの場合、権限セクションSOAレコードを除き、R_AからR_Bにレコードをコピーします。
5. Return R_C.
5. R_Cを返します。
Authors' Addresses
著者のアドレス
Roy Arends Nominet Sandford Gate Sandy Lane West Oxford OX4 6LB UNITED KINGDOM
ロイ・アレンズノミネットサンドフォードゲートサンディレーンウェストオックスフォードオックス4 6LBイギリス
Phone: +44 1865 332211 EMail: roy@nominet.org.uk
Mark Kosters VeriSign, Inc. 21355 Ridgetop Circle Dulles, VA 20166 US
Mark Kosters Verisign、Inc。21355 Ridgetop Circle Dulles、VA 20166 US
Phone: +1 703 948 3200 EMail: mkosters@verisign.com URI: http://www.verisignlabs.com
David Blacka VeriSign, Inc. 21355 Ridgetop Circle Dulles, VA 20166 US
David Blacka Verisign、Inc。21355 Ridgetop Circle Dulles、VA 20166 US
Phone: +1 703 948 3200 EMail: davidb@verisign.com URI: http://www.verisignlabs.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。