[要約] RFC 6672は、DNSでのDNAMEリダイレクションに関する仕様を定めたものです。その目的は、DNSの名前解決プロセスを効率化し、ドメイン名の変更や再構成を容易にすることです。

Internet Engineering Task Force (IETF)                           S. Rose
Request for Comments: 6672                                          NIST
Obsoletes: 2672                                            W. Wijngaards
Updates: 3363                                                 NLnet Labs
Category: Standards Track                                      June 2012
ISSN: 2070-1721
        

DNAME Redirection in the DNS

DNSでのDNAMEリダイレクト

Abstract

概要

The DNAME record provides redirection for a subtree of the domain name tree in the DNS. That is, all names that end with a particular suffix are redirected to another part of the DNS. This document obsoletes the original specification in RFC 2672 as well as updates the document on representing IPv6 addresses in DNS (RFC 3363).

DNAMEレコードは、DNSのドメイン名ツリーのサブツリーにリダイレクトを提供します。つまり、特定のサフィックスで終わるすべての名前は、DNSの別の部分にリダイレクトされます。このドキュメントは、RFC 2672の元の仕様を廃止し、DNS(RFC 3363)でのIPv6アドレスの表現に関するドキュメントを更新します。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6672.

このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6672で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2012 IETF Trustおよびドキュメントの作成者として特定された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.

このドキュメントには、2008年11月10日より前に公開または公開されたIETFドキュメントまたはIETFコントリビューションの素材が含まれている場合があります。この素材の一部の著作権を管理する人は、IETFトラストにそのような素材の変更を許可する権利を付与していないIETF標準プロセス外。このような資料の著作権を管理する人から適切なライセンスを取得しない限り、このドキュメントはIETF標準プロセス外で変更できません。また、その派生物は、IETF標準プロセス外で作成できません。 RFCとして、またはそれを英語以外の言語に翻訳するための出版物。

Table of Contents

目次

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  4
     1.1.  Requirements Language  . . . . . . . . . . . . . . . . . .  4
   2.  The DNAME Resource Record  . . . . . . . . . . . . . . . . . .  5
     2.1.  Format . . . . . . . . . . . . . . . . . . . . . . . . . .  5
     2.2.  The DNAME Substitution . . . . . . . . . . . . . . . . . .  5
     2.3.  DNAME Owner Name Matching the QNAME  . . . . . . . . . . .  6
     2.4.  Names next to and below a DNAME Record . . . . . . . . . .  7
     2.5.  Compression of the DNAME Record  . . . . . . . . . . . . .  7
   3.  Processing . . . . . . . . . . . . . . . . . . . . . . . . . .  8
     3.1.  CNAME Synthesis  . . . . . . . . . . . . . . . . . . . . .  8
     3.2.  Server Algorithm . . . . . . . . . . . . . . . . . . . . .  9
     3.3.  Wildcards  . . . . . . . . . . . . . . . . . . . . . . . . 10
     3.4.  Acceptance and Intermediate Storage  . . . . . . . . . . . 11
       3.4.1.  Resolver Algorithm . . . . . . . . . . . . . . . . . . 11
   4.  DNAME Discussions in Other Documents . . . . . . . . . . . . . 12
   5.  Other Issues with DNAME  . . . . . . . . . . . . . . . . . . . 13
     5.1.  Canonical Hostnames Cannot Be below DNAME Owners . . . . . 13
     5.2.  Dynamic Update and DNAME . . . . . . . . . . . . . . . . . 13
     5.3.  DNSSEC and DNAME . . . . . . . . . . . . . . . . . . . . . 14
       5.3.1.  Signed DNAME, Unsigned Synthesized CNAME . . . . . . . 14
       5.3.2.  DNAME Bit in NSEC Type Map . . . . . . . . . . . . . . 14
       5.3.3.  DNAME Chains as Strong as the Weakest Link . . . . . . 14
       5.3.4.  Validators Must Understand DNAME . . . . . . . . . . . 14
         5.3.4.1.  Invalid Name Error Response Caused by DNAME in
                   Bitmap . . . . . . . . . . . . . . . . . . . . . . 15
         5.3.4.2.  Valid Name Error Response Involving DNAME in
                   Bitmap . . . . . . . . . . . . . . . . . . . . . . 15
         5.3.4.3.  Response with Synthesized CNAME  . . . . . . . . . 16
   6.  Examples of DNAME Use in a Zone  . . . . . . . . . . . . . . . 16
     6.1.  Organizational Renaming  . . . . . . . . . . . . . . . . . 16
     6.2.  Classless Delegation of Shorter Prefixes . . . . . . . . . 17
     6.3.  Network Renumbering Support  . . . . . . . . . . . . . . . 17
   7.  IANA Considerations  . . . . . . . . . . . . . . . . . . . . . 18
   8.  Security Considerations  . . . . . . . . . . . . . . . . . . . 18
   9.  Acknowledgments  . . . . . . . . . . . . . . . . . . . . . . . 18
   10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 19
     10.1. Normative References . . . . . . . . . . . . . . . . . . . 19
     10.2. Informative References . . . . . . . . . . . . . . . . . . 20
   Appendix A.  Changes from RFC 2672 . . . . . . . . . . . . . . . . 21
     A.1.  Changes to Server Behavior . . . . . . . . . . . . . . . . 21
     A.2.  Changes to Client Behavior . . . . . . . . . . . . . . . . 21
        
1. Introduction
1. はじめに

DNAME is a DNS resource record type originally defined in RFC 2672 [RFC2672]. DNAME provides redirection from a part of the DNS name tree to another part of the DNS name tree.

DNAMEは、RFC 2672 [RFC2672]で最初に定義されたDNSリソースレコードタイプです。 DNAMEは、DNS名ツリーの一部からDNS名ツリーの別の部分へのリダイレクトを提供します。

The DNAME RR and the CNAME RR [RFC1034] cause a lookup to (potentially) return data corresponding to a domain name different from the queried domain name. The difference between the two resource records is that the CNAME RR directs the lookup of data at its owner to another single name, whereas a DNAME RR directs lookups for data at descendants of its owner's name to corresponding names under a different (single) node of the tree.

DNAME RRとCNAME RR [RFC1034]は、ルックアップを(潜在的に)照会したドメイン名とは異なるドメイン名に対応するデータを返します。 2つのリソースレコードの違いは、CNAME RRはその所有者のデータのルックアップを別の単一の名前に誘導するのに対し、DNAME RRはその所有者の名前の子孫のデータのルックアップを別の(単一の)ノードの対応する名前に誘導することです。木。

For example, take looking through a zone (see RFC 1034 [RFC1034], Section 4.3.2, step 3) for the domain name "foo.example.com", and a DNAME resource record is found at "example.com" indicating that all queries under "example.com" be directed to "example.net". The lookup process will return to step 1 with the new query name of "foo.example.net". Had the query name been "www.foo.example.com", the new query name would be "www.foo.example.net".

たとえば、ドメイン名「foo.example.com」のゾーン(RFC 1034 [RFC1034]、セクション4.3.2、ステップ3を参照)を調べたところ、DNAMEリソースレコードが「example.com」にあり、 「example.com」の下のすべてのクエリは「example.net」に送信されること。ルックアッププロセスは、「foo.example.net」という新しいクエリ名でステップ1に戻ります。クエリ名が「www.foo.example.com」の場合、新しいクエリ名は「www.foo.example.net」になります。

This document is a revision of the original specification of DNAME in RFC 2672 [RFC2672]. DNAME was conceived to help with the problem of maintaining address-to-name mappings in a context of network renumbering. With a careful setup, a renumbering event in the network causes no change to the authoritative server that has the address-to-name mappings. Examples in practice are classless reverse address space delegations.

このドキュメントは、RFC 2672 [RFC2672]のDNAMEの元の仕様の改訂版です。 DNAMEは、ネットワークの再番号付けのコンテキストでアドレスと名前のマッピングを維持する問題を解決するために考案されました。注意深く設定すると、ネットワークでの番号の付け直しイベントによって、アドレスから名前へのマッピングを持つ権限のあるサーバーが変更されることはありません。実際の例は、クラスレスの逆アドレス空間委譲です。

Another usage of DNAME lies in aliasing of name spaces. For example, a zone administrator may want subtrees of the DNS to contain the same information. Examples include punycode [RFC3492] alternates for domain spaces.

DNAMEのもう1つの使い方は、名前空間のエイリアスです。たとえば、ゾーン管理者は、DNSのサブツリーに同じ情報を含めることができます。例には、ドメインスペースのpunycode [RFC3492]代替が含まれます。

This revision of the DNAME specification does not change the wire format or the handling of DNAME resource records. Discussion is added on problems that may be encountered when using DNAME.

このDNAME仕様の改訂では、ワイヤー形式やDNAMEリソースレコードの処理は変更されません。 DNAMEの使用時に発生する可能性のある問題についての説明が追加されました。

1.1. Requirements Language
1.1. 要件言語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED" "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONAL」このドキュメントでは、RFC 2119 [RFC2119]で説明されているように解釈されます。

2. The DNAME Resource Record
2. DNAMEリソースレコード
2.1. Format
2.1. フォーマット

The DNAME RR has mnemonic DNAME and type code 39 (decimal). It is CLASS-insensitive.

DNAME RRには、ニーモニックDNAMEとタイプコード39(10進数)があります。 CLASS-insensitiveです。

Its RDATA is comprised of a single field, <target>, which contains a fully qualified domain name that MUST be sent in uncompressed form [RFC1035] [RFC3597]. The <target> field MUST be present. The presentation format of <target> is that of a domain name [RFC1035]. The presentation format of the RR is as follows:

そのRDATAは、単一のフィールド<target>で構成されており、非圧縮形式[RFC1035] [RFC3597]で送信する必要がある完全修飾ドメイン名が含まれています。 <target>フィールドが存在する必要があります。 <target>の表示形式は、ドメイン名[RFC1035]の表示形式です。 RRの表示形式は次のとおりです。

           <owner> <ttl> <class> DNAME <target>
        

The effect of the DNAME RR is the substitution of the record's <target> for its owner name, as a suffix of a domain name. This substitution is to be applied for all names below the owner name of the DNAME RR. This substitution has to be applied for every DNAME RR found in the resolution process, which allows fairly lengthy valid chains of DNAME RRs.

DNAME RRの効果は、ドメイン名のサフィックスとして、レコードの<target>をその所有者名に置き換えることです。この置換は、DNAME RRの所有者名の下にあるすべての名前に適用されます。この置換は、解決プロセスで見つかったすべてのDNAME RRに適用する必要があります。これにより、DNAME RRの有効なチェーンがかなり長くなります。

Details of the substitution process, methods to avoid conflicting resource records, and rules for specific corner cases are given in the following subsections.

以下のサブセクションでは、置換プロセスの詳細、リソースレコードの競合を回避する方法、特定のコーナーケースのルールについて説明します。

2.2. The DNAME Substitution
2.2. DNAME置換

When following step 3 of the algorithm in RFC 1034 [RFC1034], Section 4.3.2, "start matching down, label by label, in the zone" and a node is found to own a DNAME resource record, a DNAME substitution occurs. The name being sought may be the original query name or a name that is the result of a CNAME resource record being followed or a previously encountered DNAME. As in the case when finding a CNAME resource record or NS resource record set, the processing of a DNAME will happen prior to finding the desired domain name.

RFC 1034 [RFC1034]のアルゴリズムのステップ3、セクション4.3.2「ゾーン内のラベルごとにラベルのマッチングを開始する」に従い、ノードがDNAMEリソースレコードを所有していることが判明すると、DNAME置換が発生します。検索される名前は、元のクエリ名、または追跡されているCNAMEリソースレコードの結果である名前、または以前に検出されたDNAMEである可能性があります。 CNAMEリソースレコードまたはNSリソースレコードセットを見つける場合と同様に、目的のドメイン名を見つける前にDNAMEの処理が行われます。

A DNAME substitution is performed by replacing the suffix labels of the name being sought matching the owner name of the DNAME resource record with the string of labels in the RDATA field. The matching labels end with the root label in all cases. Only whole labels are replaced. See the table of examples for common cases and corner cases.

DNAME置換は、DNAMEリソースレコードの所有者名と一致する検索対象の名前のサフィックスラベルをRDATAフィールドのラベルの文字列で置き換えることによって実行されます。一致するラベルは、すべての場合にルートラベルで終わります。ラベル全体のみが置き換えられます。一般的なケースとコーナーケースについては、例の表を参照してください。

In the table below, the QNAME refers to the query name. The owner is the DNAME owner domain name, and the target refers to the target of the DNAME record. The result is the resulting name after performing the DNAME substitution on the query name. "no match" means that the query did not match the DNAME, and thus no substitution is performed and a possible error message is returned (if no other result is possible). Thus, every line contains one example substitution. In the examples below, 'cyc' and 'shortloop' contain loops.

以下の表では、QNAMEはクエリ名を指します。所有者はDNAME所有者のドメイン名であり、ターゲットはDNAMEレコードのターゲットを指します。結果は、クエリ名でDNAME置換を実行した後の結果の名前です。 「一致しない」とは、クエリがDNAMEと一致しなかったため、置換が実行されず、エラーメッセージが返される(他の結果が得られない場合)ことを意味します。したがって、すべての行に1つの例の置換が含まれています。以下の例では、「cyc」と「shortloop」にループが含まれています。

    QNAME            owner  DNAME   target         result
    ---------------- -------------- -------------- -----------------
    com.             example.com.   example.net.   <no match>
    example.com.     example.com.   example.net.   [0]
    a.example.com.   example.com.   example.net.   a.example.net.
    a.b.example.com. example.com.   example.net.   a.b.example.net.
    ab.example.com.  b.example.com. example.net.   <no match>
    foo.example.com. example.com.   example.net.   foo.example.net.
    a.x.example.com. x.example.com. example.net.   a.example.net.
    a.example.com.   example.com.   y.example.net. a.y.example.net.
    cyc.example.com. example.com.   example.com.   cyc.example.com.
    cyc.example.com. example.com.   c.example.com. cyc.c.example.com.
    shortloop.x.x.   x.             .              shortloop.x.
    shortloop.x.     x.             .              shortloop.
        

[0] The result depends on the QTYPE. If the QTYPE = DNAME, then the result is "example.com.", else "<no match>".

[0] 結果はQTYPEによって異なります。 QTYPE = DNAMEの場合、結果は「example.com。」、それ以外の場合は「<no match>」になります。

Table 1. DNAME Substitution Examples

表1. DNAME置換の例

It is possible for DNAMEs to form loops, just as CNAMEs can form loops. DNAMEs and CNAMEs can chain together to form loops. A single corner case DNAME can form a loop. Resolvers and servers should be cautious in devoting resources to a query, but be aware that fairly long chains of DNAMEs may be valid. Zone content administrators should take care to ensure that there are no loops that could occur when using DNAME or DNAME/CNAME redirection.

CNAMEがループを形成できるのと同じように、DNAMEがループを形成する可能性があります。 DNAMEとCNAMEは連鎖してループを形成できます。単一のコーナーケースDNAMEはループを形成できます。リゾルバとサーバーは、クエリにリソースを割り当てる際には注意が必要ですが、DNAMEのかなり長いチェーンが有効な場合があることに注意してください。ゾーンのコンテンツ管理者は、DNAMEまたはDNAME / CNAMEリダイレクトを使用するときに発生する可能性のあるループがないことを確認するように注意する必要があります。

The domain name can get too long during substitution. For example, suppose the target name of the DNAME RR is 250 octets in length (multiple labels), if an incoming QNAME that has a first label over 5 octets in length, the result would be a name over 255 octets. If this occurs, the server returns an RCODE of YXDOMAIN [RFC2136]. The DNAME record and its signature (if the zone is signed) are included in the answer as proof for the YXDOMAIN (value 6) RCODE.

ドメイン名は、置換中に長くなりすぎる可能性があります。たとえば、DNAME RRのターゲット名の長さが250オクテット(複数のラベル)である場合、最初のラベルが5オクテットを超える着信QNAMEの場合、結果は255オクテットを超える名前になります。これが発生した場合、サーバーはYXDOMAIN [RFC2136]のRCODEを返します。 DNAMEレコードとその署名(ゾーンが署名されている場合)は、YXDOMAIN(値6)RCODEの証明として回答に含まれています。

2.3. DNAME Owner Name Matching the QNAME
2.3. QNAMEと一致するDNAME所有者名

Unlike a CNAME RR, a DNAME RR redirects DNS names subordinate to its owner name; the owner name of a DNAME is not redirected itself. The domain name that owns a DNAME record is allowed to have other resource record types at that domain name, except DNAMEs, CNAMEs, or other types that have restrictions on what they can coexist with.

CNAME RRとは異なり、DNAME RRはその所有者名に従属するDNS名をリダイレクトします。 DNAMEの所有者名自体はリダイレクトされません。 DNAMEレコードを所有するドメイン名は、DNAME、CNAME、またはそれらが共存できるものに制限がある他のタイプを除いて、そのドメイン名で他のリソースレコードタイプを持つことができます。

When there is a match of the QTYPE to a type (or types) also owned by the owner name, the response is sourced from the owner name. For example, a QTYPE of ANY would return the (available) types at the owner name, not the target name.

QTYPEが所有者名によって所有されている1つまたは複数のタイプと一致する場合、応答は所有者名から送信されます。たとえば、AのQTYPEは、ターゲット名ではなく、所有者名で(使用可能な)タイプを返します。

DNAME RRs MUST NOT appear at the same owner name as an NS RR unless the owner name is the zone apex; if it is not the zone apex, then the NS RR signifies a delegation point, and the DNAME RR must in that case appear below the zone cut at the zone apex of the child zone.

DNAME RRは、所有者名がゾーンの頂点でない限り、NS RRと同じ所有者名で表示してはなりません。ゾーンの頂点でない場合、NS RRは委任ポイントを示し、その場合、DNAME RRは子ゾーンのゾーンの頂点にあるゾーンカットの下に表示される必要があります。

If a DNAME record is present at the zone apex, there is still a need to have the customary SOA and NS resource records there as well. Such a DNAME cannot be used to mirror a zone completely, as it does not mirror the zone apex.

DNAMEレコードがゾーンの頂点に存在する場合でも、通常のSOAおよびNSリソースレコードをそこに置く必要があります。このようなDNAMEは、ゾーンの頂点をミラーリングしないため、ゾーンの完全なミラーリングには使用できません。

These rules also allow DNAME records to be queried through caches that are RFC 1034 [RFC1034] compliant and are DNAME unaware.

これらのルールにより、RFC 1034 [RFC1034]に準拠し、DNAMEを認識しないキャッシュを介してDNAMEレコードをクエリすることもできます。

2.4. Names next to and below a DNAME Record
2.4. DNAMEレコードの隣と下の名前

Resource records MUST NOT exist at any subdomain of the owner of a DNAME RR. To get the contents for names subordinate to that owner name, the DNAME redirection must be invoked and the resulting target queried. A server MAY refuse to load a zone that has data at a subdomain of a domain name owning a DNAME RR. If the server does load the zone, those names below the DNAME RR will be occluded as described in RFC 2136 [RFC2136], Section 7.18. Also, a server ought to refuse to load a zone subordinate to the owner of a DNAME record in the ancestor zone. See Section 5.2 for further discussion related to dynamic update.

リソースレコードは、DNAME RRの所有者のサブドメインに存在してはなりません(MUST NOT)。その所有者名に従属する名前の内容を取得するには、DNAMEリダイレクトを呼び出して、結果のターゲットを照会する必要があります。サーバーは、DNAME RRを所有するドメイン名のサブドメインにデータがあるゾーンのロードを拒否する場合があります。サーバーがゾーンを読み込む場合、RFC 2136 [RFC2136]のセクション7.18に記載されているように、DNAME RRの下の名前は閉塞されます。また、サーバーは、祖先ゾーンのDNAMEレコードの所有者に従属するゾーンのロードを拒否する必要があります。動的更新に関する詳細については、セクション5.2を参照してください。

DNAME is a singleton type, meaning only one DNAME is allowed per name. The owner name of a DNAME can only have one DNAME RR, and no CNAME RRs can exist at that name. These rules make sure that for a single domain name, only one redirection exists; thus, there's no confusion about which one to follow. A server ought to refuse to load a zone that violates these rules.

DNAMEはシングルトンタイプです。つまり、名前ごとに1つのDNAMEのみが許可されます。 DNAMEの所有者名は1つのDNAME RRのみを持つことができ、その名前にCNAME RRは存在できません。これらのルールにより、単一のドメイン名に対してリダイレクトが1つだけ存在することが保証されます。したがって、どちらに従うかについて混乱はありません。サーバーは、これらのルールに違反するゾーンのロードを拒否する必要があります。

2.5. Compression of the DNAME Record
2.5. DNAMEレコードの圧縮

The DNAME owner name can be compressed like any other owner name. The DNAME RDATA target name MUST NOT be sent out in compressed form and MUST be downcased for DNS Security Extensions (DNSSEC) validation.

DNAME所有者名は、他の所有者名と同様に圧縮できます。 DNAME RDATAターゲット名は圧縮形式で送信してはならず、DNS Security Extensions(DNSSEC)検証のために小文字にする必要があります。

Although the previous DNAME specification [RFC2672] (that is obsoleted by this specification) talked about signaling to allow compression of the target name, such signaling has never been specified, nor is it specified in this document.

以前のDNAME仕様[RFC2672](この仕様では廃止されました)では、ターゲット名の圧縮を可能にするシグナリングについて説明しましたが、そのようなシグナリングは指定されておらず、このドキュメントでも指定されていません。

RFC 2672 (obsoleted by this document) states that the Extended DNS (EDNS) version has a means for understanding DNAME and DNAME target name compression. This document revises RFC 2672, in that there is no EDNS version signaling for DNAME.

RFC 2672(このドキュメントでは廃止)には、拡張DNS(EDNS)バージョンにはDNAMEおよびDNAMEターゲット名の圧縮を理解する手段があると記載されています。このドキュメントは、DNAMEのEDNSバージョンシグナリングがないという点でRFC 2672を改訂します。

3. Processing
3. 処理
3.1. CNAME Synthesis
3.1. CNAME合成

When preparing a response, a server performing a DNAME substitution will, in all cases, include the relevant DNAME RR in the answer section. Relevant cases includes the following:

応答を準備するとき、DNAME置換を実行するサーバーは、すべての場合において、関連するDNAME RRを回答セクションに含めます。関連するケースは次のとおりです。

1. The DNAME is being employed as a substitution instruction.

1. DNAMEは置換命令として使用されています。

2. The DNAME itself matches the QTYPE, and the owner name matches QNAME.

2. DNAME自体はQTYPEと一致し、所有者名はQNAMEと一致します。

When the owner name matches the QNAME and the QTYPE matches another type owned there, the DNAME is not included in the answer.

所有者名がQNAMEと一致し、QTYPEがそこで所有されている別のタイプと一致する場合、DNAMEは回答に含まれません。

A CNAME RR with Time to Live (TTL) equal to the corresponding DNAME RR is synthesized and included in the answer section when the DNAME is employed as a substitution instruction. The owner name of the CNAME is the QNAME of the query. The DNSSEC specification ([RFC4033] [RFC4034] [RFC4035]) says that the synthesized CNAME does not have to be signed. The signed DNAME has an RRSIG, and a validating resolver can check the CNAME against the DNAME record and validate the signature over the DNAME RR.

対応するDNAME RRと等しい存続可能時間(TTL)のCNAME RRが合成され、DNAMEが置換命令として採用されている場合は回答セクションに含まれます。 CNAMEの所有者名は、クエリのQNAMEです。 DNSSEC仕様([RFC4033] [RFC4034] [RFC4035])には、合成されたCNAMEに署名する必要がないと記載されています。署名付きDNAMEにはRRSIGがあり、検証リゾルバーはCNAMEをDNAMEレコードと照合してチェックし、DNAME RRで署名を検証できます。

Servers MUST be able to answer a query for a synthesized CNAME. Like other query types, this invokes the DNAME, and then the server synthesizes the CNAME and places it into the answer section. If the server in question is a cache, the synthesized CNAME's TTL SHOULD be equal to the decremented TTL of the cached DNAME.

サーバーは、合成されたCNAMEのクエリに応答できる必要があります。他のクエリタイプと同様に、DNAMEが呼び出され、サーバーはCNAMEを合成して回答セクションに配置します。問題のサーバーがキャッシュの場合、合成されたCNAMEのTTLは、キャッシュされたDNAMEのデクリメントされたTTLに等しい必要があります(SHOULD)。

Resolvers MUST be able to handle a synthesized CNAME TTL of zero or a value equal to the TTL of the corresponding DNAME record (as some older, authoritative server implementations set the TTL of synthesized CNAMEs to zero). A TTL of zero means that the CNAME can be discarded immediately after processing the answer.

リゾルバーは、0の合成CNAME TTLまたは対応するDNAMEレコードのTTLに等しい値を処理できる必要があります(古い、信頼できるサーバー実装では、合成CNAMEのTTLを0に設定するため)。 TTLがゼロの場合、CNAMEは回答を処理した直後に破棄できます。

3.2. Server Algorithm
3.2. サーバーアルゴリズム

Below is the revised version of the server algorithm, which appears in RFC 2672, Section 4.1.

以下は、RFC 2672のセクション4.1に記載されているサーバーアルゴリズムの改訂版です。

1. Set or clear the value of recursion available in the response depending on whether the name server is willing to provide recursive service. If recursive service is available and requested via the RD bit in the query, go to step 5; otherwise, step 2.

1. ネームサーバーが再帰的なサービスを提供する用意があるかどうかに応じて、応答で使用可能な再帰の値を設定またはクリアします。再帰サービスが利用可能で、クエリのRDビットを介して要求されている場合は、手順5に進みます。それ以外の場合は、ステップ2。

2. Search the available zones for the zone which is the nearest ancestor to QNAME. If such a zone is found, go to step 3; otherwise, step 4.

2. 使用可能なゾーンで、QNAMEに最も近い祖先であるゾーンを検索します。そのようなゾーンが見つかった場合は、ステップ3に進みます。それ以外の場合は、ステップ4。

3. Start matching down, label by label, in the zone. The matching process can terminate several ways:

3. ゾーン内で、ラベルごとに一致を見つけ始めます。マッチングプロセスは、いくつかの方法で終了する可能性があります。

A. If the whole of QNAME is matched, we have found the node.

A. QNAME全体が一致した場合、ノードが見つかりました。

If the data at the node is a CNAME, and QTYPE does not match CNAME, copy the CNAME RR into the answer section of the response, change QNAME to the canonical name in the CNAME RR, and go back to step 1.

ノードのデータがCNAMEであり、QTYPEがCNAMEと一致しない場合は、CNAME RRを応答の回答セクションにコピーし、QNAMEをCNAME RRの正規名に変更して、手順1に戻ります。

Otherwise, copy all RRs which match QTYPE into the answer section and go to step 6.

それ以外の場合は、QTYPEに一致するすべてのRRを回答セクションにコピーして、ステップ6に進みます。

B. If a match would take us out of the authoritative data, we have a referral. This happens when we encounter a node with NS RRs marking cuts along the bottom of a zone.

B.一致により信頼できるデータから外れる場合は、紹介があります。これは、NS RRがゾーンの下部に沿ってカットをマークしているノードに遭遇したときに発生します。

Copy the NS RRs for the sub-zone into the authority section of the reply. Put whatever addresses are available into the additional section, using glue RRs if the addresses are not available from authoritative data or the cache. Go to step 4.

サブゾーンのNS RRを応答の機関セクションにコピーします。信頼できるデータやキャッシュからアドレスを取得できない場合は、グルーRRを使用して、使用可能なアドレスを追加セクションに配置します。手順4に進みます。

C. If at some label, a match is impossible (i.e., the corresponding label does not exist), look to see whether the last label matched has a DNAME record.

C.あるラベルで一致が不可能である場合(つまり、対応するラベルが存在しない場合)、最後に一致したラベルにDNAMEレコードがあるかどうかを確認します。

If a DNAME record exists at that point, copy that record into the answer section. If substitution of its <target> for its <owner> in QNAME would overflow the legal size for a <domain-name>, set RCODE to YXDOMAIN [RFC2136] and exit; otherwise, perform the substitution and continue. The server MUST synthesize a CNAME record as described above and include it in the answer section. Go back to step 1.

その時点でDNAMEレコードが存在する場合は、そのレコードを回答セクションにコピーします。 QNAMEの<owner>を<target>に置き換えると、<domain-name>の有効なサイズがオーバーフローする場合は、RCODEをYXDOMAIN [RFC2136]に設定して終了します。それ以外の場合は、置換を実行して続行します。サーバーは上記のようにCNAMEレコードを合成し、回答セクションに含める必要があります。手順1に戻ります。

If there was no DNAME record, look to see if the "*" label exists.

DNAMEレコードがない場合は、「*」ラベルが存在するかどうかを確認してください。

If the "*" label does not exist, check whether the name we are looking for is the original QNAME in the query or a name we have followed due to a CNAME or DNAME. If the name is original, set an authoritative name error in the response and exit. Otherwise, just exit.

「*」ラベルが存在しない場合は、探している名前がクエリの元のQNAMEであるか、CNAMEまたはDNAMEのために追跡した名前であるかを確認してください。名前がオリジナルの場合は、応答に権威ある名前のエラーを設定して終了します。それ以外の場合は、終了してください。

If the "*" label does exist, match RRs at that node against QTYPE. If any match, copy them into the answer section, but set the owner of the RR to be QNAME, and not the node with the "*" label. If the data at the node with the "*" label is a CNAME, and QTYPE doesn't match CNAME, copy the CNAME RR into the answer section of the response changing the owner name to the QNAME, change QNAME to the canonical name in the CNAME RR, and go back to step 1. Otherwise, go to step 6.

「*」ラベルが存在する場合は、そのノードのRRをQTYPEと照合します。一致するものがあれば、それらを回答セクションにコピーしますが、RRの所有者を「*」ラベルの付いたノードではなくQNAMEに設定します。 「*」ラベルのノードのデータがCNAMEで、QTYPEがCNAMEと一致しない場合は、CNAME RRを応答の回答セクションにコピーして、所有者名をQNAMEに変更し、QNAMEを正規名に変更します。 CNAME RR、および手順1に戻ります。それ以外の場合は、手順6に進みます。

4. Start matching down in the cache. If QNAME is found in the cache, copy all RRs attached to it that match QTYPE into the answer section. If QNAME is not found in the cache but a DNAME record is present at an ancestor of QNAME, copy that DNAME record into the answer section. If there was no delegation from authoritative data, look for the best one from the cache, and put it in the authority section. Go to step 6.

4. キャッシュでの照合を開始します。キャッシュでQNAMEが見つかった場合、QTYPEに一致する、それにアタッチされているすべてのRRを回答セクションにコピーします。 QNAMEがキャッシュに見つからないが、DNAMEレコードがQNAMEの祖先に存在する場合、そのDNAMEレコードを回答セクションにコピーします。信頼できるデータからの委任がなかった場合は、キャッシュから最適なものを探して、権限セクションに入れます。手順6に進みます。

5. Use the local resolver or a copy of its algorithm to answer the query. Store the results, including any intermediate CNAMEs and DNAMEs, in the answer section of the response.

5. ローカルリゾルバまたはそのアルゴリズムのコピーを使用して、クエリに回答します。中間CNAMEとDNAMEを含む結果を、応答の回答セクションに格納します。

6. Using local data only, attempt to add other RRs that may be useful to the additional section of the query. Exit.

6. ローカルデータのみを使用して、クエリの追加セクションに役立つ他のRRを追加してみてください。出口。

Note that there will be at most one ancestor with a DNAME as described in step 4 unless some zone's data is in violation of the no-descendants limitation in Section 3. An implementation might take advantage of this limitation by stopping the search of step 3c or step 4 when a DNAME record is encountered.

一部のゾーンのデータがセクション3の子孫なしの制限に違反していない限り、ステップ4で説明されているように、DNAMEを持つ祖先は多くても1つであることに注意してください。実装は、ステップ3cまたはDNAMEレコードが検出されたときのステップ4。

3.3. Wildcards
3.3. ワイルドカード

The use of DNAME in conjunction with wildcards is discouraged [RFC4592]. Thus, records of the form "*.example.com DNAME example.net" SHOULD NOT be used.

ワイルドカードと組み合わせたDNAMEの使用は推奨されません[RFC4592]。したがって、「*。example.com DNAME example.net」の形式のレコードは使用しないでください。

The interaction between the expansion of the wildcard and the redirection of the DNAME is non-deterministic. Due to the fact that the processing is non-deterministic, DNSSEC validating resolvers may not be able to validate a wildcarded DNAME.

ワイルドカードの展開とDNAMEのリダイレクトの間の相互作用は非決定的です。処理が非決定的であるため、DNSSEC検証リゾルバーはワイルドカードを使用したDNAMEを検証できない場合があります。

A server MAY give a warning that the behavior is unspecified if such a wildcarded DNAME is loaded. The server MAY refuse it, refuse to load the zone, or refuse dynamic updates.

そのようなワイルドカードのDNAMEがロードされている場合、サーバーは動作が指定されていないことを警告する場合があります。サーバーはそれを拒否しても、ゾーンのロードを拒否しても、動的更新を拒否してもかまいません。

3.4. Acceptance and Intermediate Storage
3.4. 受け入れと中間保管

Recursive caching name servers can encounter data at names below the owner name of a DNAME RR, due to a change at the authoritative server where data from before and after the change resides in the cache. This conflict situation is a transitional phase that ends when the old data times out. The caching name server can opt to store both old and new data and treat each as if the other did not exist, or drop the old data, or drop the longer domain name. In any approach, consistency returns after the older data TTL times out.

再帰キャッシングネームサーバーは、変更前と変更後のデータがキャッシュに存在する権限のあるサーバーでの変更が原因で、DNAME RRの所有者名より下の名前のデータに遭遇する可能性があります。この競合状況は、古いデータがタイムアウトしたときに終了する移行フェーズです。キャッシングネームサーバーは、古いデータと新しいデータの両方を保存し、それぞれをもう一方が存在しないかのように処理するか、古いデータを削除するか、より長いドメイン名を削除するかを選択できます。どの方法でも、古いデータのTTLがタイムアウトすると、整合性が戻ります。

Recursive caching name servers MUST perform CNAME synthesis on behalf of clients.

再帰的キャッシングネームサーバーは、クライアントに代わってCNAME合成を実行する必要があります。

If a recursive caching name server encounters a DNSSEC validated DNAME RR that contradicts information already in the cache (excluding CNAME records), it SHOULD cache the DNAME RR, but it MAY cache the CNAME record received along with it, subject to the rules for CNAME. If the DNAME RR cannot be validated via DNSSEC (i.e., not BOGUS, but not able to validate), the recursive caching server SHOULD NOT cache the DNAME RR but MAY cache the CNAME record received along with it, subject to the rules for CNAME.

再帰的キャッシングネームサーバーが、すでにキャッシュにある情報(CNAMEレコードを除く)と矛盾するDNSSEC検証済みDNAME RRに遭遇した場合、DNAME RRをキャッシュする必要がありますが、CNAMEのルールに従って、一緒に受信したCNAMEレコードをキャッシュできます(MAY)。 。 DNSSECを介してDNAME RRを検証できない(つまり、BOGUSではないが検証できない)場合、再帰的キャッシングサーバーはDNAME RRをキャッシュすべきではありませんが、CNAMEのルールに従って、一緒に受信したCNAMEレコードをキャッシュする必要があります(MAY)。

3.4.1. Resolver Algorithm
3.4.1. リゾルバーアルゴリズム

Below is the revised version of the resolver algorithm, which appears in RFC 2672, Section 4.2.

以下は、RFC 2672、セクション4.2に記載されているリゾルバーアルゴリズムの改訂版です。

1. See if the answer is in local information or can be synthesized from a cached DNAME; if so, return it to the client.

1. 回答がローカル情報にあるか、キャッシュされたDNAMEから合成できるかを確認します。もしそうなら、それをクライアントに返します。

2. Find the best servers to ask.

2. 尋ねるのに最適なサーバーを見つけます。

3. Send queries until one returns a response.

3. 応答を返すまでクエリを送信します。

4. Analyze the response, either:

4. 次のいずれかの応答を分析します。

A. If the response answers the question or contains a name error, cache the data as well as return it back to the client.

A.応答が質問に回答するか、名前のエラーが含まれている場合は、データをキャッシュし、クライアントに返します。

B. If the response contains a better delegation to other servers, cache the delegation information, and go to step 2.

B.応答に他のサーバーへのより適切な委任が含まれている場合は、委任情報をキャッシュして、手順2に進みます。

C. If the response shows a CNAME and that is not the answer itself, cache the CNAME, change the SNAME to the canonical name in the CNAME RR, and go to step 1.

C.応答にCNAMEが表示され、それ自体が回答ではない場合は、CNAMEをキャッシュし、SNAMEをCNAME RRの正規名に変更して、手順1に進みます。

D. If the response shows a DNAME and that is not the answer itself, cache the DNAME (upon successful DNSSEC validation if the client is a validating resolver). If substitution of the DNAME's target name for its owner name in the SNAME would overflow the legal size for a domain name, return an implementation-dependent error to the application; otherwise, perform the substitution and go to step 1.

D.応答にDNAMEが示され、それ自体が回答ではない場合、DNAMEをキャッシュします(クライアントが検証リゾルバーである場合、DNSSEC検証が成功すると)。 DNAMEのターゲット名をSNAMEの所有者名に置き換えると、ドメイン名の正当なサイズがオーバーフローする場合は、実装に依存するエラーをアプリケーションに返します。それ以外の場合は、置換を実行してステップ1に進みます。

E. If the response shows a server failure or other bizarre contents, delete the server from the SLIST and go back to step 3.

E.応答がサーバー障害またはその他の奇妙なコンテンツを示している場合は、サーバーをSLISTから削除して、ステップ3に戻ります。

4. DNAME Discussions in Other Documents
4. 他のドキュメントでのDNAMEディスカッション

In Section 10.3 of [RFC2181], the discussion on MX and NS records touches on redirection by CNAMEs, but this also holds for DNAMEs.

[RFC2181]のセクション10.3で、MXレコードとNSレコードに関する議論はCNAMEによるリダイレクトについて触れていますが、これはDNAMEにも当てはまります。

Section 10.3 ("MX and NS records") of [RFC2181] states:

[RFC2181]のセクション10.3(「MXおよびNSレコード」)には次のように記載されています。

The domain name used as the value of a NS resource record, or part of the value of a MX resource record must not be an alias. Not only is the specification clear on this point, but using an alias in either of these positions neither works as well as might be hoped, nor well fulfills the ambition that may have led to this approach. This domain name must have as its value one or more address records. Currently those will be A records, however in the future other record types giving addressing information may be acceptable. It can also have other RRs, but never a CNAME RR.

NSリソースレコードの値として使用されるドメイン名、またはMXリソースレコードの値の一部は、エイリアスであってはなりません。この点で仕様が明確であるだけでなく、これらの位置のいずれかでエイリアスを使用しても、期待どおりに機能せず、このアプローチにつながった可能性のある野心を十分に果たしません。このドメイン名は、その値として1つ以上のアドレスレコードを持つ必要があります。現在、これらはAレコードになりますが、将来的には、アドレッシング情報を提供する他のレコードタイプも受け入れられる可能性があります。他のRRを持つこともできますが、CNAME RRを持つことはできません。

The DNAME RR is discussed in RFC 3363, Section 4, on A6 and DNAME. The opening premise of this section is demonstrably wrong, and so the conclusion based on that premise is wrong. In particular, [RFC3363] deprecates the use of DNAME in the IPv6 reverse tree. Based on the experience gained in the meantime, [RFC3363] is revised, dropping all constraints on having DNAME RRs in these zones [RFC6434]. This would greatly improve the manageability of the IPv6 reverse tree. These changes are made explicit below.

DNAME RRは、A6およびDNAMEに関するRFC 3363、セクション4で説明されています。このセクションの冒頭の前提は明らかに間違っているため、その前提に基づく結論は間違っています。特に、[RFC3363]は、IPv6リバースツリーでのDNAMEの使用を廃止します。その間に得られた経験に基づいて、[RFC3363]が改訂され、これらのゾーンにDNAME RRを持つことに関するすべての制約が削除されました[RFC6434]。これにより、IPv6リバースツリーの管理性が大幅に向上します。これらの変更は、以下に明示されています。

In [RFC3363], the following paragraph is updated by this document, and the use of DNAME RRs in the reverse tree is no longer deprecated.

[RFC3363]では、次の段落がこのドキュメントによって更新され、リバースツリーでのDNAME RRの使用は廃止されなくなりました。

The issues for DNAME in the reverse mapping tree appears to be closely tied to the need to use fragmented A6 in the main tree: if one is necessary, so is the other, and if one isn't necessary, the other isn't either. Therefore, in moving RFC 2874 to experimental, the intent of this document is that use of DNAME RRs in the reverse tree be deprecated.

リバースマッピングツリーでのDNAMEの問題は、メインツリーでフラグメント化されたA6を使用する必要性と密接に関連しているように見えます。 。したがって、RFC 2874を試験運用に移行する場合、このドキュメントの目的は、リバースツリーでのDNAME RRの使用を廃止することです。

5. Other Issues with DNAME
5. DNAMEに関するその他の問題

There are several issues to be aware of about the use of DNAME.

DNAMEの使用に関して注意すべきいくつかの問題があります。

5.1. Canonical Hostnames Cannot Be below DNAME Owners
5.1. 正規のホスト名はDNAME所有者以下にすることはできません

The names listed as target names of MX, NS, PTR, and SRV [RFC2782] records must be canonical hostnames. This means no CNAME or DNAME redirection may be present during DNS lookup of the address records for the host. This is discussed in RFC 2181 [RFC2181], Section 10.3, and RFC 1912 [RFC1912], Section 2.4. For SRV, see RFC 2782 [RFC2782], page 4.

MX、NS、PTR、およびSRV [RFC2782]レコードのターゲット名としてリストされている名前は、正規のホスト名である必要があります。これは、ホストのアドレスレコードのDNSルックアップ中にCNAMEまたはDNAMEリダイレクトが存在しないことを意味します。これについては、RFC 2181 [RFC2181]、セクション10.3、およびRFC 1912 [RFC1912]、セクション2.4で説明されています。 SRVについては、RFC 2782 [RFC2782]、4ページを参照してください。

The upshot of this is that although the lookup of a PTR record can involve DNAMEs, the name listed in the PTR record cannot fall under a DNAME. The same holds for NS, SRV, and MX records. For example, when punycode [RFC3492] alternates for a zone use DNAME, then the NS, MX, SRV, and PTR records that point to that zone must use names that are not aliases in their RDATA. Then, what must be done is to have the domain names with DNAME substitution already applied to it as the MX, NS, PTR, and SRV data. These are valid canonical hostnames.

この結果、PTRレコードのルックアップにはDNAMEが含まれる可能性がありますが、PTRレコードにリストされている名前はDNAMEに該当しません。 NS、SRV、MXレコードについても同様です。たとえば、ゾーンのpunycode [RFC3492]代替がDNAMEを使用する場合、そのゾーンを指すNS、MX、SRV、およびPTRレコードは、RDATAのエイリアスではない名前を使用する必要があります。次に、ドメイン名にDNAME置換をMX、NS、PTR、およびSRVデータとしてすでに適用している必要があります。これらは有効な正規のホスト名です。

5.2. Dynamic Update and DNAME
5.2. 動的更新とDNAME

DNAME records can be added, changed, and removed in a zone using dynamic update transactions. Adding a DNAME RR to a zone occludes any domain names that may exist under the added DNAME.

DNAMEレコードは、動的更新トランザクションを使用して、ゾーンで追加、変更、および削除できます。 DNAME RRをゾーンに追加すると、追加されたDNAMEの下に存在する可能性のあるドメイン名がすべて閉塞されます。

If a dynamic update message attempts to add a DNAME with a given owner name, but a CNAME is associated with that name, then the server MUST ignore the DNAME. If a DNAME is already associated with that name, then it is replaced with the new DNAME. Otherwise, add the DNAME. If a CNAME is added with a given owner name, but a DNAME is associated with that name, then the CNAME MUST be ignored. Similar behavior occurs for dynamic updates to an owner name of a CNAME RR [RFC2136].

動的更新メッセージが特定の所有者名でDNAMEを追加しようとしたが、CNAMEがその名前に関連付けられている場合、サーバーはDNAMEを無視する必要があります。 DNAMEがすでにその名前に関連付けられている場合は、新しいDNAMEに置き換えられます。それ以外の場合は、DNAMEを追加します。 CNAMEが特定の所有者名で追加され、DNAMEがその名前に関連付けられている場合、CNAMEは無視されなければなりません(MUST)。 CNAME RR [RFC2136]の所有者名に対する動的更新についても、同様の動作が発生します。

5.3. DNSSEC and DNAME
5.3. DNSSECおよびDNAME

The following subsections specify the behavior of implementations that understand both DNSSEC and DNAME (synthesis).

以下のサブセクションでは、DNSSECとDNAME(合成)の両方を理解する実装の動作を指定します。

5.3.1. Signed DNAME, Unsigned Synthesized CNAME
5.3.1. 署名済みDNAME、署名なしの合成CNAME

In any response, a signed DNAME RR indicates a non-terminal redirection of the query. There might or might not be a server-synthesized CNAME in the answer section; if there is, the CNAME will never be signed. For a DNSSEC validator, verification of the DNAME RR and then that the CNAME was properly synthesized is sufficient proof.

どの応答でも、署名されたDNAME RRは、クエリの非ターミナルリダイレクトを示します。回答セクションにサーバー合成のCNAMEがある場合とない場合があります。存在する場合、CNAMEは署名されません。 DNSSECバリデーターの場合、DNAME RRの検証と、CNAMEが適切に合成されたことの検証は十分な証拠です。

5.3.2. DNAME Bit in NSEC Type Map
5.3.2. NSECタイプマップのDNAMEビット

In any negative response, the NSEC or NSEC3 [RFC5155] record type bitmap SHOULD be checked to see that there was no DNAME that could have been applied. If the DNAME bit in the type bitmap is set and the query name is a subdomain of the closest encloser that is asserted, then DNAME substitution should have been done, but the substitution has not been done as specified.

否定応答では、NSECまたはNSEC3 [RFC5155]レコードタイプビットマップをチェックして、適用できるDNAMEがないことを確認する必要があります。タイプビットマップのDNAMEビットが設定されていて、クエリ名がアサートされる最も近いエンクローサーのサブドメインである場合、DNAME置換は行われているはずですが、指定どおりに行われていません。

5.3.3. 最も弱いリンクと同じくらい強いDNAMEチェーン

A response can contain a chain of DNAME and CNAME redirections. That chain can end in a positive answer or a negative reply (no name error or no data error). Each step in that chain results in resource records being added to the answer or authority section of the response. Only if all steps are secure can the AD (Authentic Data) bit be set for the response. If one of the steps is bogus, the result is bogus.

応答には、DNAMEおよびCNAMEリダイレクトのチェーンを含めることができます。そのチェーンは、肯定応答または否定応答(名前エラーまたはデータエラーなし)で終了する可能性があります。そのチェーンの各ステップにより、リソースレコードが応答の応答または権限セクションに追加されます。すべてのステップが安全である場合のみ、AD(Authentic Data)ビットを応答に設定できます。ステップの1つが偽の場合、結果は偽になります。

5.3.4. Validators Must Understand DNAME
5.3.4. バリデータはDNAMEを理解する必要がある

Below are examples of why DNSSEC validators MUST understand DNAME. In the examples, SOA records, wildcard denial NSECs, and other material not under discussion have been omitted or shortened.

以下は、DNSSECバリデーターがDNAMEを理解しなければならない理由の例です。例では、SOAレコード、ワイルドカード拒否NSEC、および議論されていないその他の資料は省略または短縮されています。

5.3.4.1. Invalid Name Error Response Caused by DNAME in Bitmap
5.3.4.1. ビットマップのDNAMEが原因の無効な名前エラー応答
   ;; Header: QR AA RCODE=3(NXDOMAIN)
   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags: do; udp: 4096
        

;; Question foo.bar.example.com. IN A ;; Authority bar.example.com. NSEC dub.example.com. A DNAME bar.example.com. RRSIG NSEC [valid signature]

;;質問foo.bar.example.com。 IN A ;;権限bar.example.com。 NSEC dub.example.com。 DNAME bar.example.com。 RRSIG NSEC [有効な署名]

If this is the received response, then only by understanding that the DNAME bit in the NSEC bitmap means that foo.bar.example.com needed to have been redirected by the DNAME, the validator can see that it is a BOGUS reply from an attacker that collated existing records from the DNS to create a confusing reply.

これが受信した応答である場合、NSECビットマップのDNAMEビットがfoo.bar.example.comがDNAMEによってリダイレクトされている必要があることを理解することによってのみ、検証者はそれが攻撃者からのBOGUS応答であることを確認できます。 DNSからの既存のレコードを照合して、混乱する応答を作成しました。

If the DNAME bit had not been set in the NSEC record above, then the answer would have validated as a correct name error response.

上記のNSECレコードでDNAMEビットが設定されていなかった場合、答えは正しい名前のエラー応答として検証されたはずです。

5.3.4.2. Valid Name Error Response Involving DNAME in Bitmap
5.3.4.2. ビットマップのDNAMEを含む有効な名前エラー応答
   ;; Header: QR AA RCODE=3(NXDOMAIN)
   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags: do; udp: 4096
        

;; Question cee.example.com. IN A ;; Authority bar.example.com. NSEC dub.example.com. A DNAME bar.example.com. RRSIG NSEC [valid signature]

;;質問cee.example.com。 IN A ;;権限bar.example.com。 NSEC dub.example.com。 DNAME bar.example.com。 RRSIG NSEC [有効な署名]

This response has the same NSEC records as the example above, but with this query name (cee.example.com), the answer is validated, because 'cee' does not get redirected by the DNAME at 'bar'.

この応答には上記の例と同じNSECレコードがありますが、このクエリ名(cee.example.com)を使用すると、「cee」が「bar」のDNAMEによってリダイレクトされないため、回答が検証されます。

5.3.4.3. Response with Synthesized CNAME
5.3.4.3. 合成されたCNAMEでの応答
   ;; Header: QR AA RCODE=0(NOERROR)
   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags: do; udp: 4096
        

;; Question foo.bar.example.com. IN A ;; Answer bar.example.com. DNAME bar.example.net. bar.example.com. RRSIG DNAME [valid signature] foo.bar.example.com. CNAME foo.bar.example.net.

;;質問foo.bar.example.com。 IN A ;;答えはbar.example.comです。 DNAME bar.example.net。 bar.example.com。 RRSIG DNAME [有効な署名] foo.bar.example.com。 CNAME foo.bar.example.net。

The response shown above has the synthesized CNAME included. However, the CNAME has no signature, since the server does not sign online. So this response cannot be trusted. It could be altered by an attacker to be foo.bar.example.com CNAME bla.bla.example. The DNAME record does have its signature included, since it does not change. The validator must verify the DNAME signature and then recursively resolve further in order to query for the foo.bar.example.net A record.

上記の応答には、合成されたCNAMEが含まれています。ただし、サーバーはオンラインで署名しないため、CNAMEには署名がありません。したがって、この応答は信頼できません。攻撃者によってfoo.bar.example.com CNAME bla.bla.exampleに変更される可能性があります。 DNAMEレコードは変更されないため、署名が含まれています。バリデータは、foo.bar.example.net Aレコードを照会するために、DNAME署名を検証してから再帰的に解決する必要があります。

6. Examples of DNAME Use in a Zone
6. ゾーンでのDNAMEの使用例

Below are some examples of the use of DNAME in a zone. These examples are by no means exhaustive.

以下は、ゾーンでのDNAMEの使用例です。これらの例は決して完全なものではありません。

6.1. Organizational Renaming
6.1. 組織の名前変更

If an organization with domain name FROBOZZ.EXAMPLE.NET became part of an organization with domain name ACME.EXAMPLE.COM, it might ease transition by placing information such as this in its old zone.

ドメイン名がFROBOZZ.EXAMPLE.NETの組織がドメイン名がACME.EXAMPLE.COMの組織の一部になった場合、このような情報を古いゾーンに配置することで移行が容易になる可能性があります。

frobozz.example.net. DNAME frobozz-division.acme.example.com. MX 10 mailhub.acme.example.com.

frobozz.example.net。 DNAME frobozz-division.acme.example.com。 MX 10 mailhub.acme.example.com。

The response to an extended recursive query for www.frobozz.example.net would contain, in the answer section, the DNAME record shown above and the relevant RRs for www.frobozz-division.acme.example.com.

www.frobozz.example.netの拡張再帰クエリに対する応答では、回答セクションに、上記のDNAMEレコードと、www.frobozz-division.acme.example.comの関連するRRが含まれます。

If an organization wants to have aliases for names, for a different spelling or language, the same example applies. Note that the MX RR at the zone apex is not redirected and has to be repeated in the target zone. Also note that the services at mailhub or www.frobozz-division.acme.example.com. have to recognize and handle the aliases.

組織が名前のエイリアス、別のスペルまたは言語を使用する場合は、同じ例が適用されます。ゾーンの頂点のMX RRはリダイレクトされず、ターゲットゾーンで繰り返す必要があることに注意してください。また、mailhubまたはwww.frobozz-division.acme.example.comのサービスにも注意してください。エイリアスを認識して処理する必要があります。

6.2. Classless Delegation of Shorter Prefixes
6.2. 短いプレフィックスのクラスレス委任

The classless scheme for in-addr.arpa delegation [RFC2317] can be extended to prefixes shorter than 24 bits by use of the DNAME record. For example, the prefix 192.0.8.0/22 can be delegated by the following records.

in-addr.arpa委任のクラスレススキーム[RFC2317]は、DNAMEレコードを使用して、24ビットより短いプレフィックスに拡張できます。たとえば、プレフィックス192.0.8.0/22は、次のレコードによって委任できます。

$ORIGIN 0.192.in-addr.arpa. 8/22 NS ns.slash-22-holder.example.com. 8 DNAME 8.8/22 9 DNAME 9.8/22 10 DNAME 10.8/22 11 DNAME 11.8/22

$ ORIGIN 0.192.in-addr.arpa。 8/22 NS ns.slash-22-holder.example.com。 8 DNAME 8.8 / 22 9 DNAME 9.8 / 22 10 DNAME 10.8 / 22 11 DNAME 11.8 / 22

A typical entry in the resulting reverse zone for some host with address 192.0.9.33 might be as follows:

アドレス192.0.9.33の一部のホストの結果の逆ゾーンの一般的なエントリは、次のようになります。

$ORIGIN 8/22.0.192.in-addr.arpa. 33.9 PTR somehost.slash-22-holder.example.com.

$ ORIGIN 8 / 22.0.192.in-addr.arpa。 33.9 PTR somehost.slash-22-holder.example.com。

The advisory remarks in [RFC2317] concerning the choice of the "/" character apply here as well.

「/」文字の選択に関する[RFC2317]の助言はここにも適用されます。

6.3. Network Renumbering Support
6.3. ネットワーク番号の変更のサポート

If IPv4 network renumbering were common, maintenance of address space delegation could be simplified by using DNAME records instead of NS records to delegate.

IPv4ネットワークの再番号付けが一般的である場合、委任にNSレコードの代わりにDNAMEレコードを使用することにより、アドレススペース委任のメンテナンスを簡略化できます。

$ORIGIN new-style.in-addr.arpa. 189.190 DNAME in-addr.example.net.

$ ORIGIN new-style.in-addr.arpa。 189.190 DNAME in-addr.example.net。

$ORIGIN in-addr.example.net. 188 DNAME in-addr.customer.example.com.

$ ORIGIN in-addr.example.net。 188 DNAME in-addr.customer.example.com。

$ORIGIN in-addr.customer.example. 1 PTR www.customer.example.com 2 PTR mailhub.customer.example.com. ; etc ...

$ ORIGIN in-addr.customer.example。 1 PTR www.customer.example.com 2 PTR mailhub.customer.example.com。 ;など...

This would allow the address space 190.189.0.0/16 assigned to the ISP "example.net" to be changed without having to alter the zone data describing the use of that space by the ISP and its customers.

これにより、ISP「example.net」に割り当てられたアドレススペース190.189.0.0/16を、ISPとその顧客によるそのスペースの使用を説明するゾーンデータを変更する必要なく変更できます。

Renumbering IPv4 networks is currently so arduous a task that updating the DNS is only a small part of the labor, so this scheme may have a low value. But it is hoped that in IPv6 the renumbering task will be quite different, and the DNAME mechanism may play a useful part.

現在、IPv4ネットワークの番号を再設定するのは大変な作業であり、DNSの更新は労力のほんの一部にすぎないため、このスキームの価値は低いかもしれません。しかし、IPv6では番号の付け直しのタスクがかなり異なり、DNAMEメカニズムが役立つ場合があります。

7. IANA Considerations
7. IANAに関する考慮事項

The DNAME resource record type code 39 (decimal) originally was registered by [RFC2672] in the DNS Resource Record (RR) Types registry table at http://www.iana.org/assignments/dns-parameters. IANA has updated the DNS resource record registry to point to this document for RR type 39.

DNAMEリソースレコードタイプコード39(10進数)は、最初に[RFC2672]によってhttp://www.iana.org/assignments/dns-parametersのDNSリソースレコード(RR)タイプレジストリテーブルに登録されました。 IANAは、RRタイプ39のこのドキュメントを指すようにDNSリソースレコードレジストリを更新しました。

8. Security Considerations
8. セキュリティに関する考慮事項

DNAME redirects queries elsewhere, which may impact security based on policy and the security status of the zone with the DNAME and the redirection zone's security status. For validating resolvers, the lowest security status of the links in the chain of CNAME and DNAME redirections is applied to the result.

DNAMEはクエリを他の場所にリダイレクトします。これは、ポリシーに基づいたセキュリティと、DNAMEとリダイレクトゾーンのセキュリティステータスを持つゾーンのセキュリティステータスに影響を与える可能性があります。リゾルバーを検証するために、CNAMEおよびDNAMEリダイレクトのチェーン内のリンクの最も低いセキュリティステータスが結果に適用されます。

If a validating resolver accepts wildcarded DNAMEs, this creates security issues. Since the processing of a wildcarded DNAME is non-deterministic and the CNAME that was substituted by the server has no signature, the resolver may choose a different result than what the server meant, and consequently end up at the wrong destination. Use of wildcarded DNAMEs is discouraged in any case [RFC4592].

検証リゾルバーがワイルドカードのDNAMEを受け入れる場合、これはセキュリティの問題を引き起こします。ワイルドカードを使用したDNAMEの処理は非決定的であり、サーバーによって置き換えられたCNAMEには署名がないため、リゾルバーはサーバーが意図したものとは異なる結果を選択し、結果として間違った宛先になってしまう可能性があります。ワイルドカードを使用したDNAMEの使用は、いかなる場合でも推奨されません[RFC4592]。

A validating resolver MUST understand DNAME, according to [RFC4034]. The examples in Section 5.3.4 illustrate this need.

[RFC4034]によると、検証リゾルバはDNAMEを理解する必要があります。セクション5.3.4の例は、この必要性を示しています。

9. Acknowledgments
9. 謝辞

The authors of this document would like to acknowledge Matt Larson for beginning this effort to address the issues related to the DNAME RR type. The authors would also like to acknowledge Paul Vixie, Ed Lewis, Mark Andrews, Mike StJohns, Niall O'Reilly, Sam Weiler, Alfred Hoenes, and Kevin Darcy for their reviews and comments on this document.

このドキュメントの作成者は、DNAME RRタイプに関連する問題に取り組むためのこの取り組みを開始したMatt Larsonに感謝します。著者はまた、このドキュメントのレビューとコメントについて、Paul Vixie、Ed Lewis、Mark Andrews、Mike StJohns、Niall O'Reilly、Sam Weiler、Alfred Hoenes、およびKevin Darcyに感謝します。

10. References
10. 参考文献
10.1. Normative References
10.1. 引用文献

[RFC1034] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.

[RFC1034] Mockapetris、P。、「ドメイン名-概念と機能」、STD 13、RFC 1034、1987年11月。

[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.

[RFC1035] Mockapetris、P。、「ドメイン名-実装と仕様」、STD 13、RFC 1035、1987年11月。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC2136] Vixie, P., Thomson, S., Rekhter, Y., and J. Bound, "Dynamic Updates in the Domain Name System (DNS UPDATE)", RFC 2136, April 1997.

[RFC2136] Vixie、P.、Thomson、S.、Rekhter、Y。、およびJ. Bound、「ドメインネームシステムの動的更新(DNS UPDATE)」、RFC 2136、1997年4月。

[RFC2181] Elz, R. and R. Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997.

[RFC2181] Elz、R。およびR. Bush、「Clarifications to the DNS Specification」、RFC 2181、1997年7月。

[RFC2317] Eidnes, H., de Groot, G., and P. Vixie, "Classless IN-ADDR.ARPA delegation", BCP 20, RFC 2317, March 1998.

[RFC2317] Eidnes、H.、de Groot、G。、およびP. Vixie、「Classless IN-ADDR.ARPA delegation」、BCP 20、RFC 2317、1998年3月。

[RFC2782] Gulbrandsen, A., Vixie, P., and L. Esibov, "A DNS RR for specifying the location of services (DNS SRV)", RFC 2782, February 2000.

[RFC2782] Gulbrandsen、A.、Vixie、P。、およびL. Esibov、「サービスの場所を指定するためのDNS RR(DNS SRV)」、RFC 2782、2000年2月。

[RFC3597] Gustafsson, A., "Handling of Unknown DNS Resource Record (RR) Types", RFC 3597, September 2003.

[RFC3597] Gustafsson、A。、「未知のDNSリソースレコード(RR)タイプの処理」、RFC 3597、2003年9月。

[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.

[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、2005年3月。

[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.

[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのリソースレコード」、RFC 4034、2005年3月。

[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.

[RFC4035] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のプロトコル変更」、RFC 4035、2005年3月。

[RFC4592] Lewis, E., "The Role of Wildcards in the Domain Name System", RFC 4592, July 2006.

[RFC4592]ルイス、E。、「ドメインネームシステムにおけるワイルドカードの役割」、RFC 4592、2006年7月。

[RFC5155] Laurie, B., Sisson, G., Arends, R., and D. Blacka, "DNS Security (DNSSEC) Hashed Authenticated Denial of Existence", RFC 5155, March 2008.

[RFC5155] Laurie、B.、Sisson、G.、Arends、R。、およびD. Blacka、「DNS Security(DNSSEC)Hashed Authenticated Denial of Existence」、RFC 5155、2008年3月。

10.2. Informative References
10.2. 参考引用

[RFC1912] Barr, D., "Common DNS Operational and Configuration Errors", RFC 1912, February 1996.

[RFC1912] Barr、D。、「Common DNS Operational and Configuration Errors」、RFC 1912、1996年2月。

[RFC2672] Crawford, M., "Non-Terminal DNS Name Redirection", RFC 2672, August 1999.

[RFC2672]クロフォード、M。、「非端末DNS名リダイレクト」、RFC 2672、1999年8月。

[RFC3363] Bush, R., Durand, A., Fink, B., Gudmundsson, O., and T. Hain, "Representing Internet Protocol version 6 (IPv6) Addresses in the Domain Name System (DNS)", RFC 3363, August 2002.

[RFC3363] Bush、R.、Durand、A.、Fink、B.、Gudmundsson、O。、およびT. Hain、「インターネットプロトコルバージョン6(IPv6)アドレスをドメインネームシステム(DNS)で表す」、RFC 3363 、2002年8月。

[RFC3492] Costello, A., "Punycode: A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA)", RFC 3492, March 2003.

[RFC3492] Costello、A。、「Punycode:A Bootstring encoding for Unicode for Internationalized Domain Names in Applications(IDNA)」、RFC 3492、2003年3月。

[RFC6434] Jankiewicz, E., Loughney, J., and T. Narten, "IPv6 Node Requirements", RFC 6434, December 2011.

[RFC6434] Jankiewicz、E.、Loughney、J。、およびT. Narten、「IPv6ノードの要件」、RFC 6434、2011年12月。

Appendix A. Changes from RFC 2672
付録A. RFC 2672からの変更点
A.1. Changes to Server Behavior
A.1. サーバーの動作の変更

Major changes to server behavior from the original DNAME specification are summarized below:

元のDNAME仕様からのサーバーの動作に対する主な変更点を以下にまとめます。

o The rules for DNAME substitution have been clarified in Section 2.2.

o DNAME置換のルールは、セクション2.2で明確になっています。

o The EDNS option to signal DNAME understanding and compression has never been specified, and this document clarifies that there is no signaling method (Section 2.5).

o DNAMEの理解と圧縮を通知するEDNSオプションは指定されていません。このドキュメントでは、通知方法がないことを明確にしています(セクション2.5)。

o The TTL for synthesized CNAME RRs is now set to the TTL of the DNAME, not zero (Section 3.1).

o 合成されたCNAME RRのTTLが、DNAMEのTTLではなく、ゼロに設定されるようになりました(セクション3.1)。

o Recursive caching servers MUST perform CNAME synthesis on behalf of clients (Section 3.4).

o 再帰的キャッシングサーバーは、クライアントに代わってCNAME合成を実行する必要があります(セクション3.4)。

o The revised server algorithm is detailed in Section 3.2.

o 改訂されたサーバーアルゴリズムの詳細は、セクション3.2を参照してください。

o Rules for dynamic update messages adding a DNAME or CNAME RR to a zone where a CNAME or DNAME already exists are detailed in Section 5.2.

o CNAMEまたはDNAMEがすでに存在するゾーンにDNAMEまたはCNAME RRを追加する動的更新メッセージのルールについては、セクション5.2で詳しく説明しています。

A.2. Changes to Client Behavior
A.2. クライアントの動作の変更

Major changes to client behavior from the original DNAME specification are summarized below:

元のDNAME仕様からのクライアントの動作に対する主な変更点を以下にまとめます。

o Clients MUST be able to accept synthesized CNAME RR's with a TTL of either zero or the TTL of the DNAME RR that accompanies the CNAME RR.

o クライアントは、ゼロのTTLまたはCNAME RRに付随するDNAME RRのTTLのいずれかを使用して、合成されたCNAME RRを受け入れることができる必要があります。

o DNSSEC-aware clients SHOULD cache DNAME RRs and MAY cache synthesized CNAME RRs they receive in the same response. DNSSEC-aware clients SHOULD also check the NSEC/NSEC3 type bitmap to verify that DNAME redirection is to be done. DNSSEC validators MUST understand DNAME (Section 5.3).

o DNSSEC対応クライアントは、DNAME RRをキャッシュする必要があり(SHOULD)、同じ応答で受信した合成CNAME RRをキャッシュする必要があります(MAY)。 DNSSEC対応クライアントは、NSEC / NSEC3タイプのビットマップもチェックして、DNAMEリダイレクトが行われることを確認する必要があります(SHOULD)。 DNSSECバリデーターはDNAMEを理解する必要があります(セクション5.3)。

o The revised client algorithm is detailed in Section 3.4.1.

o 改訂されたクライアントアルゴリズムの詳細は、セクション3.4.1を参照してください。

Authors' Addresses

著者のアドレス

Scott Rose NIST 100 Bureau Dr. Gaithersburg, MD 20899 USA

Scott Rose NIST 100 Bureau Dr. Gaithersburg、MD 20899 USA

   Phone: +1-301-975-8439
   Fax:   +1-301-975-6238
   EMail: scott.rose@nist.gov
        

Wouter Wijngaards NLnet Labs Science Park 140 Amsterdam 1098 XH The Netherlands

Wouter Wijngaards NLnet Labs Science Park 140アムステルダム1098 XHオランダ

   Phone: +31-20-888-4551
   EMail: wouter@nlnetlabs.nl