[要約] RFC 7344は、DNSSECデリゲーション信頼の自動化に関するものであり、DNSSECデリゲーションの信頼維持を容易にするための手法を提案しています。目的は、手動での信頼維持作業の負担を軽減し、セキュリティの向上と信頼性の確保を促進することです。
Internet Engineering Task Force (IETF) W. Kumari
Request for Comments: 7344 Google
Category: Informational O. Gudmundsson
ISSN: 2070-1721 OGUD Consulting
G. Barwood
September 2014
Automating DNSSEC Delegation Trust Maintenance
DNSSEC委任信頼のメンテナンスの自動化
Abstract
概要
This document describes a method to allow DNS Operators to more easily update DNSSEC Key Signing Keys using the DNS as a communication channel. The technique described is aimed at delegations in which it is currently hard to move information from the Child to Parent.
このドキュメントでは、DNSオペレーターがDNSを通信チャネルとして使用してDNSSECキー署名キーをより簡単に更新できるようにする方法について説明します。説明されている手法は、子から親に情報を移動することが現在困難な代表団を対象としています。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7344.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7344で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 4
1.2. Requirements Notation . . . . . . . . . . . . . . . . . . 4
2. Background . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.1. DNS Delegations . . . . . . . . . . . . . . . . . . . . . 5
2.2. Relationship between Parent and Child DNS Operators . . . 5
2.2.1. Solution Space . . . . . . . . . . . . . . . . . . . 6
2.2.2. DNSSEC Key Change Process . . . . . . . . . . . . . . 7
3. CDS (Child DS) and CDNSKEY (Child DNSKEY) Record Definitions 7
3.1. CDS Resource Record Format . . . . . . . . . . . . . . . 8
3.2. CDNSKEY Resource Record Format . . . . . . . . . . . . . 8
4. Automating DS Maintenance with CDS/CDNSKEY Records . . . . . 8
4.1. CDS and CDNSKEY Processing Rules . . . . . . . . . . . . 9
5. CDS/CDNSKEY Publication . . . . . . . . . . . . . . . . . . . 9
6. Parent-Side CDS/CDNSKEY Consumption . . . . . . . . . . . . . 9
6.1. Detecting a Changed CDS/CDNSKEY . . . . . . . . . . . . . 10
6.1.1. CDS/CDNSKEY Polling . . . . . . . . . . . . . . . . . 10
6.1.2. Polling Triggers . . . . . . . . . . . . . . . . . . 11
6.2. Using the New CDS/CDNSKEY Records . . . . . . . . . . . . 11
6.2.1. Parent Calculates DS . . . . . . . . . . . . . . . . 12
7. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 12
8. Privacy Considerations . . . . . . . . . . . . . . . . . . . 12
9. Security Considerations . . . . . . . . . . . . . . . . . . . 13
10. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . 14
11. References . . . . . . . . . . . . . . . . . . . . . . . . . 15
11.1. Normative References . . . . . . . . . . . . . . . . . . 15
11.2. Informative References . . . . . . . . . . . . . . . . . 15
Appendix A. RRR Background . . . . . . . . . . . . . . . . . . . 17
Appendix B. CDS Key Rollover Example . . . . . . . . . . . . . . 17
The first time a DNS Operator signs a zone, they need to communicate the keying material to their Parent through some out-of-band method to complete the chain of trust. Depending on the desires of the Parent, the Child might send their DNSKEY record, a DS record, or both.
DNSオペレーターが初めてゾーンに署名するとき、信頼の連鎖を完成させるために、帯域外の方法でキー情報を親に伝達する必要があります。親の要望に応じて、子はDNSKEYレコード、DSレコード、またはその両方を送信する場合があります。
Each time the Child changes the key that is represented in the Parent, the updated and/or deleted key information has to be communicated to the Parent and published in the Parent's zone. How this information is sent to the Parent depends on the relationship the Child has with the Parent. In many cases this is a manual process -- and not an easy one. For each key change, there may be up to two interactions with the Parent. Any manual process is susceptible to mistakes and/or errors. In addition, due to the annoyance factor of the process, Operators may avoid changing keys or skip needed steps to publish the new DS at the Parent.
子が親で表されるキーを変更するたびに、更新および/または削除されたキー情報を親に伝達し、親のゾーンで公開する必要があります。この情報が親に送信される方法は、子と親の関係によって異なります。多くの場合、これは手動のプロセスであり、簡単なプロセスではありません。キーの変更ごとに、親とのやり取りが2つまで可能です。手作業によるプロセスは、間違いやエラーの影響を受けやすくなっています。さらに、プロセスの煩わしさのために、オペレーターはキーの変更を避けたり、親で新しいDSを公開するために必要な手順をスキップしたりできます。
DNSSEC provides data integrity to information published in DNS; thus, DNS publication can be used to automate maintenance of delegation information. This document describes a method to automate publication of subsequent DS records after the initial one has been published.
DNSSECは、DNSで公開された情報にデータの整合性を提供します。したがって、DNS公開を使用して、委任情報のメンテナンスを自動化できます。このドキュメントでは、最初のレコードが公開された後、後続のDSレコードの公開を自動化する方法について説明します。
Readers are expected to be familiar with DNSSEC, including [RFC4033], [RFC4034], [RFC4035], [RFC5011], and [RFC6781].
読者は、[RFC4033]、[RFC4034]、[RFC4035]、[RFC5011]、[RFC6781]などのDNSSECに精通していることが求められます。
This document outlines a technique in which the Parent periodically (or upon request) polls its signed Children and automatically publishes new DS records. To a large extent, the procedures this document follows are as described in [RFC6781], Section 4.1.2.
このドキュメントでは、親が定期的に(または要求に応じて)署名された子をポーリングし、新しいDSレコードを自動的に公開する手法の概要を説明します。このドキュメントが従う手順の大部分は、[RFC6781]のセクション4.1.2に記載されています。
This technique is designed to be friendly both to fully automated tools and humans. Fully automated tools can perform all the actions needed without human intervention and thus can monitor when it is safe to move to the next step.
この手法は、完全に自動化されたツールと人間の両方に優しいように設計されています。完全に自動化されたツールは、人間の介入なしに必要なすべてのアクションを実行できるため、次のステップに安全に移動できる時期を監視できます。
The solution described in this document only allows transferring information about DNSSEC keys (DS and DNSKEY) from the Child to the Parental Agent. It lists exactly what the Parent should publish and allows for publication of standby keys. A different protocol, [CPSYNC-DNS], can be used to maintain other important delegation information, such as NS and glue records. These two protocols have been kept as separate solutions because the problems are fundamentally different and a combined solution is overly complex.
このドキュメントで説明されているソリューションでは、DNSSECキー(DSおよびDNSKEY)に関する情報のみを子から親エージェントに転送できます。これは、親が公開する必要があるものを正確にリストし、スタンバイキーの公開を許可します。別のプロトコル[CPSYNC-DNS]を使用して、NSやグルーレコードなどの他の重要な委任情報を維持できます。これらの2つのプロトコルは、問題が根本的に異なり、組み合わせたソリューションが非常に複雑であるため、別々のソリューションとして保持されています。
This document describes a method for automating maintenance of the delegation trust information and proposes a polled/periodic trigger for simplicity. Some users may prefer a different trigger, for example, a button on a web page, a REST interface, or a DNS NOTIFY. These alternate additional triggers are not discussed in this document.
このドキュメントでは、委任信頼情報のメンテナンスを自動化する方法について説明し、簡単にするためにポーリングされた/定期的なトリガーを提案します。一部のユーザーは、Webページのボタン、RESTインターフェース、DNS NOTIFYなど、別のトリガーを好みます。これらの代替の追加トリガーについては、このドキュメントでは説明しません。
This proposal does not include all operations needed for the maintenance of DNSSEC key material, specifically the initial introduction or complete removal of all keys. Because of this, alternate communications mechanisms must always exist, potentially introducing more complexity.
この提案には、DNSSECキーマテリアルのメンテナンスに必要なすべての操作、特にすべてのキーの最初の導入または完全な削除は含まれていません。このため、代替の通信メカニズムが常に存在する必要があり、より複雑になる可能性があります。
The terminology we use is defined in this section. The highlighted roles are as follows:
このセクションでは、使用する用語を定義します。強調表示されている役割は次のとおりです。
o Child: The entity on record that has the delegation of the domain from the Parent.
o 子:親からのドメインの委任を持つレコード上のエンティティ。
o Parent: The domain in which the Child is registered.
o 親:子が登録されているドメイン。
o Child DNS Operator: The entity that maintains and publishes the zone information for the Child DNS.
o 子DNSオペレーター:子DNSのゾーン情報を維持および公開するエンティティ。
o Parental Agent: The entity that the Child has a relationship with to change its delegation information.
o 保護者の代理人:委任情報を変更するために子供が関係しているエンティティ。
o Provisioning System: A system that the Operator of the master DNS server operates to maintain the information published in the DNS. This includes the systems that sign the DNS data.
o プロビジョニングシステム:マスターDNSサーバーのオペレーターがDNSで公開された情報を維持するために操作するシステム。これには、DNSデータに署名するシステムが含まれます。
o CDS/CDNSKEY: This notation refers to CDS and/or CDNSKEY, i.e., one or both.
o CDS / CDNSKEY:この表記は、CDSまたはCDNSKEY、つまり1つまたは両方を指します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこの文書の "は、[RFC2119]で説明されているように解釈されます。
DNS operation consists of delegations of authority. For each delegation, there are (most of the time) two parties: the Parent and the Child.
DNS操作は、権限の委任で構成されます。各代表団には、(ほとんどの場合)親と子の2つのグループがあります。
The Parent publishes information about the delegations to the Child; for the name servers, it publishes an NS [RFC1035] Resource Record Set (RRset) that lists a hint for name servers that are authoritative for the Child. The Child also publishes an NS RRset, and this set is the authoritative list of name servers to the Child zone.
保護者は、委任に関する情報を子供に公開します。ネームサーバーの場合、子に対して権限のあるネームサーバーのヒントをリストするNS [RFC1035]リソースレコードセット(RRset)を公開します。 ChildはNS RRsetも公開します。このセットは、Childゾーンへのネームサーバーの正式なリストです。
The second RRset the Parent sometimes publishes is the DS [RFC4034] set. The DS RRset provides information about the DNSKEY(s) that the Child has told the Parent it will use to sign its DNSKEY RRset. In DNSSEC, a trust relationship between zones is provided by the following chain:
親が時々公開する2番目のRRsetはDS [RFC4034]セットです。 DS RRsetは、子供が親にDNSKEY RRsetの署名に使用することを通知したDNSKEYに関する情報を提供します。 DNSSECでは、ゾーン間の信頼関係は次のチェーンによって提供されます。
Parent DNSKEY --> DS --> Child DNSKEY.
親DNSKEY-> DS->子DNSKEY。
A prior proposal [AUTO-CPSYNC] suggested that the Child send an "update" to the Parent via a mechanism similar to DNS UPDATE. The main issue became: how does the Child find the actual Parental Agent/ server to send the update to? While that could have been solved via technical means, it failed to reach consensus. There is also a similar proposal in [PARENT-ZONES].
以前の提案[AUTO-CPSYNC]は、子がDNS UPDATEと同様のメカニズムを介して親に「更新」を送信することを提案しました。主な問題は次のようになりました:子はどのようにして更新を送信する実際の親エージェント/サーバーを見つけますか?それは技術的な手段で解決できたかもしれませんが、合意には至りませんでした。 [PARENT-ZONES]にも同様の提案があります。
As the DS record can only be present at the Parent [RFC4034], some other method is needed to automate which DNSKEYs are picked to be represented in the Parent zone's DS records. One possibility is to use flags in the DNSKEY record. If the Secure Entry Point (SEP) bit is set, this indicates that the DNSKEY is intended for use as a secure entry point. This DNSKEY signs the DNSKEY RRset, and the Parental Agent can calculate DS records based on that. But this fails to meet some operating needs, including the Child having no influence on what DS digest algorithms are used and DS records that can only be published for keys that are in the DNSKEY RRset; thus, this technique would not be compatible with Double-DS rollover [RFC6781].
DSレコードは親にのみ存在できるため[RFC4034]、親ゾーンのDSレコードで表されるDNSKEYを選択するのを自動化するには、他の方法が必要です。 1つの可能性は、DNSKEYレコードでフラグを使用することです。セキュアエントリポイント(SEP)ビットが設定されている場合、これはDNSKEYがセキュアエントリポイントとして使用されることを意図していることを示します。このDNSKEYはDNSKEY RRsetに署名し、Parental Agentはそれに基づいてDSレコードを計算できます。しかし、これは、使用されているDSダイジェストアルゴリズムに影響を及ぼさない子や、DNSKEY RRsetにあるキーに対してのみ公開できるDSレコードなど、一部の運用ニーズを満たしません。したがって、この手法はDouble-DSロールオーバー[RFC6781]と互換性がありません。
In practical application, there are many different relationships between the Parent and Child DNS Operators. The type of relationship affects how the Child DNS Operator communicates with the Parent.
実際のアプリケーションでは、親と子のDNSオペレーターの間には多くの異なる関係があります。関係のタイプは、子DNSオペレーターが親と通信する方法に影響します。
This section will highlight some of the different situations but is by no means a complete list.
このセクションでは、さまざまな状況のいくつかを取り上げますが、完全なリストではありません。
Different communication paths:
異なる通信経路:
o Direct/API: The Child can change the delegation information via automated/scripted means. The Extensible Provisioning Protocol (EPP) [RFC5730], used by many Top-Level Domains (TLDs), is an example of this. Other examples are web-based programmatic interfaces that Registrars make available to their Resellers.
o 直接/ API:子は、自動化/スクリプト化された方法で委任情報を変更できます。多くのトップレベルドメイン(TLD)で使用されているExtensible Provisioning Protocol(EPP)[RFC5730]は、この例です。その他の例は、レジストラがリセラーに提供するWebベースのプログラムインターフェイスです。
o User Interface: The Child uses a web site set up by the Parental Agent for updating delegation information.
o ユーザーインターフェイス:子は、委任情報を更新するために、Parental AgentによってセットアップされたWebサイトを使用します。
o Indirect: The communication has to be transmitted via an out-of-band mechanism between two parties, such as by email or telephone. This is common when the Child DNS Operator is neither the Child itself nor the Registrar for the domain, but a third party.
o 間接的:通信は、電子メールや電話など、2つのパーティ間のアウトオブバンドメカニズムを介して送信する必要があります。これは、Child DNS Operatorがドメイン自体のChildでもレジストラーでもなく、サードパーティである場合によく発生します。
o Multi-step Combinations: The information flows through an intermediary. It is possible, but unlikely, that all the steps are automated via APIs and there are no humans involved.
o マルチステップの組み合わせ:情報は仲介者を介して流れます。すべてのステップがAPIを介して自動化されており、人間が関与していない可能性もありますが、そうではありません。
A domain name holder (Child) may operate its own DNS servers or outsource the operation. While we use the word "Parent" as singular, a Parent can consist of a single entity or a composite of many discrete parts that have rules and roles. We refer to the entity that the Child corresponds with as the Parent.
ドメイン名の所有者(子供)は、独自のDNSサーバーを運用するか、その運用を外部委託する場合があります。 「親」という言葉を単数形として使用していますが、親は単一のエンティティで構成することも、ルールと役割を持つ多数の個別のパーツの複合体で構成することもできます。子が対応するエンティティを親と呼びます。
An organization (such as an enterprise) may delegate parts of its name-space to be operated by a group that is not the same as that which operates the organization's DNS servers. In some of these cases, the flow of information is handled either in an ad hoc manner or via some corporate mechanism; this can range from email to a fully automated operation.
組織(企業など)は、組織のDNSサーバーを運用しているグループとは異なるグループが運用する名前空間の一部を委任する場合があります。これらのケースのいくつかでは、情報の流れは、その場限りの方法で、または何らかの企業メカニズムを介して処理されます。これは、電子メールから完全に自動化された操作までさまざまです。
This document is aimed at the cases in which there is a separation between the Child and Parent.
このドキュメントは、子供と親の間に分離がある場合を対象としています。
A further complication is when the Child DNS Operator is not the Child. There are two common cases of this:
さらに複雑なのは、Child DNS OperatorがChildではない場合です。これには2つの一般的なケースがあります。
a) The Parental Agent (e.g., Registrar) handles the DNS operation.
a) 保護者エージェント(レジストラなど)がDNS操作を処理します。
b) A third party takes care of the DNS operation.
b) サードパーティがDNS操作を処理します。
If the Parental Agent is the DNS Operator, life is much easier; the Parental Agent can inject any delegation changes directly into the Parent's provisioning system. The techniques described below are not needed in the case when the Parental Agent is the DNS Operator.
Parental AgentがDNSオペレーターである場合、人生ははるかに簡単です。保護者エージェントは、委任の変更を親のプロビジョニングシステムに直接挿入できます。保護者エージェントがDNSオペレーターである場合、以下に説明する手法は必要ありません。
In the case of a third-party DNS Operator, the Child either needs to relay changes in DNS delegation or give the Child DNS Operator access to its delegation/registration account.
サードパーティのDNSオペレーターの場合、子はDNS委任の変更を中継するか、子のDNSオペレーターに委任/登録アカウントへのアクセス権を与える必要があります。
Some Parents want the Child to express their DNSKEYs in the form of DS records, while others want to receive the DNSKEY records and calculate the DS records themselves. There is no consensus on which method is better; both have good reasons to exist. This solution is DS vs. DNSKEY agnostic and allows operation with either.
一部の親は子供にDSKEYの形式でDNSKEYを表現してもらいたい一方、他の親はDNSKEYレコードを受信してDSレコード自体を計算したいです。どの方法が優れているかについてのコンセンサスはありません。どちらも存在する正当な理由があります。このソリューションはDSとDNSKEYにとらわれず、どちらでも操作できます。
After a Child DNS Operator first signs the zone, there is a need to interact with the Parent, for example, via a delegation account interface to upload or paste in the zone's DS information. This action of logging in through the delegation account user interface authenticates that the user is authorized to change delegation information for the Child published in the Parent zone. In the case where the Child DNS Operator does not have access to the registration account, the Child needs to perform the action.
子DNSオペレーターが最初にゾーンに署名した後、たとえば、委任アカウントインターフェイスを介して親と対話して、ゾーンのDS情報をアップロードまたは貼り付ける必要があります。委任アカウントのユーザーインターフェイスを介してログインするこのアクションでは、親ゾーンで公開されている子の委任情報を変更する権限がユーザーにあることを認証します。子DNSオペレーターが登録アカウントにアクセスできない場合、子はアクションを実行する必要があります。
At a later date, the Child DNS Operator may want to publish a new DS record in the Parent, either because they are changing keys or because they want to publish a standby key. This involves performing the same process as before. Furthermore, when this is a manual process with cut and paste, operational mistakes will happen -- or worse, the update action will not be performed at all.
後日、子DNSオペレーターは、キーを変更するため、またはスタンバイキーを公開するために、親に新しいDSレコードを公開する場合があります。これには、以前と同じプロセスの実行が含まれます。さらに、これがカットアンドペーストによる手動プロセスである場合、操作ミスが発生します。さらに悪いことに、更新アクションはまったく実行されません。
The Child DNS Operator may also introduce new keys and can do so when old keys exist and can be used. The Child may also remove old keys, but this document does not support removing all keys. This is to avoid making signed zones unsigned. The Child may not enroll the initial key or introduce a new key when there are no old keys that can be used (without some additional out-of-band validation of the keys) because there is no way to validate the information.
子DNSオペレーターは、新しいキーを導入することもでき、古いキーが存在し、使用できる場合にそれを行うことができます。子は古いキーを削除することもできますが、このドキュメントではすべてのキーの削除をサポートしていません。これは、署名されたゾーンを署名されないようにするためです。情報を検証する方法がないため、Childは、使用できる古いキーがない場合(キーの追加の帯域外検証がなければ)、初期キーを登録したり、新しいキーを導入したりできません。
This document specifies two new DNS resource records, CDS and CDNSKEY. These records are used to convey, from one zone to its Parent, the desired contents of the zone's DS resource record set residing in the Parent zone.
このドキュメントでは、2つの新しいDNSリソースレコード、CDSとCDNSKEYを指定します。これらのレコードは、あるゾーンからその親に、親ゾーンにあるゾーンのDSリソースレコードセットの必要な内容を伝えるために使用されます。
The CDS and CDNSKEY resource records are published in the Child zone and give the Child control of what is published for it in the parental zone. The Child can publish these manually, or they can be automatically maintained by DNS provisioning tools. The CDS/CDNSKEY RRset expresses what the Child would like the DS RRset to look like after the change; it is a "replace" operation, and it is up to the software that consumes the records to translate that into the appropriate add/delete operations in the provisioning systems (and in the case of CDNSKEY, to generate the DS from the DNSKEY). If neither CDS nor CDNSKEY RRset is present in the Child, this means that no change is needed.
CDSおよびCDNSKEYリソースレコードは子ゾーンで公開され、親ゾーンでの公開内容を子に制御させます。子はこれらを手動で公開するか、DNSプロビジョニングツールによって自動的に維持できます。 CDS / CDNSKEY RRsetは、変更後のDS RRsetが子にどのように見えるかを表現します。これは「置換」操作であり、レコードを使用してプロビジョニングシステムの適切な追加/削除操作に変換する(およびCDNSKEYの場合は、DNSKEYからDSを生成する)ソフトウェア次第です。子にCDSもCDNSKEY RRsetも存在しない場合、これは変更が必要ないことを意味します。
The wire and presentation format of the Child DS (CDS) resource record is identical to the DS record [RFC4034]. IANA has allocated RR code 59 for the CDS resource record via Expert Review [DNS-TRANSPORT]. The CDS RR uses the same registries as DS for its fields.
子DS(CDS)リソースレコードのワイヤおよび表示形式は、DSレコード[RFC4034]と同じです。 IANAは、エキスパートレビュー[DNS-TRANSPORT]を介してCDSリソースレコードにRRコード59を割り当てました。 CDS RRは、そのフィールドにDSと同じレジストリを使用します。
No special processing is performed by authoritative servers or by resolvers, when serving or resolving. For all practical purposes, CDS is a regular RR type.
信頼できるサーバーまたはリゾルバーは、提供または解決時に特別な処理を行いません。すべての実用的な目的で、CDSは通常のRRタイプです。
The wire and presentation format of the CDNSKEY ("Child DNSKEY") resource record is identical to the DNSKEY record. IANA has allocated RR code 60 for the CDNSKEY resource record via Expert Review. The CDNSKEY RR uses the same registries as DNSKEY for its fields.
CDNSKEY(「子DNSKEY」)リソースレコードのワイヤと表示形式は、DNSKEYレコードと同じです。 IANAは、エキスパートレビューを介してCDNSKEYリソースレコードにRRコード60を割り当てました。 CDNSKEY RRは、そのフィールドにDNSKEYと同じレジストリーを使用します。
No special processing is performed by authoritative servers or by resolvers, when serving or resolving. For all practical purposes, CDNSKEY is a regular RR type.
信頼できるサーバーまたはリゾルバーは、提供または解決時に特別な処理を行いません。すべての実用的な目的で、CDNSKEYは通常のRRタイプです。
CDS/CDNSKEY resource records are intended to be "consumed" by delegation trust maintainers. The use of CDS/CDNSKEY is OPTIONAL.
CDS / CDNSKEYリソースレコードは、委任信頼管理者が「使用」することを目的としています。 CDS / CDNSKEYの使用はオプションです。
If the Child publishes either the CDS or the CDNSKEY resource record, it SHOULD publish both. If the Child knows which the Parent consumes, it MAY choose to only publish that record type (for example, some Children wish the Parent to publish a DS, but they wish to keep the DNSKEY "hidden" until needed). If the Child publishes both, the two RRsets MUST match in content.
子がCDSまたはCDNSKEYリソースレコードを公開する場合は、両方を公開する必要があります(SHOULD)。子が親が消費するものを知っている場合、そのレコードタイプのみを公開することを選択できます(たとえば、一部の子は親にDSの公開を希望しますが、必要になるまでDNSKEYを「非表示」にしたい)。子が両方を公開する場合、2つのRRsetは内容が一致する必要があります。
If there is neither CDS nor CDNSKEY RRset in the Child, this signals that no change should be made to the current DS set. This means that, once the Child and Parent are in sync, the Child DNS Operator MAY remove all CDS and CDNSKEY resource records from the zone. The Child DNS Operator may choose to do this to decrease the size of the zone or to decrease the workload for the Parent (if the Parent receives no CDS/CDNSKEY records, it can go back to sleep). If it does receive a CDS or CDNSKEY RRset, it needs to check them against what is currently published (see Section 5).
子にCDSもCDNSKEY RRsetもない場合、これは現在のDSセットに変更を加えてはならないことを示します。つまり、子と親が同期すると、子DNSオペレーターはゾーンからすべてのCDSおよびCDNSKEYリソースレコードを削除できます(MAY)。子DNSオペレーターは、これを行ってゾーンのサイズを減らすか、親のワークロードを減らすことができます(親がCDS / CDNSKEYレコードを受信しない場合、スリープに戻ることができます)。 CDSまたはCDNSKEY RRsetを受信した場合は、現在公開されているものと照合する必要があります(セクション5を参照)。
The following acceptance rules are placed on the CDS and CDNSKEY resource records as follows:
次の承認規則は、CDSおよびCDNSKEYリソースレコードに次のように配置されます。
o Location: MUST be at the Child zone apex.
o 場所:子ゾーンの頂点にある必要があります。
o Signer: MUST be signed with a key that is represented in both the current DNSKEY and DS RRsets, unless the Parent uses the CDS or CDNSKEY RRset for initial enrollment; in that case, the Parent validates the CDS/CDNSKEY through some other means (see Section 6.1 and the Security Considerations).
o 署名者:親が初期登録にCDSまたはCDNSKEY RRsetを使用しない限り、現在のDNSKEYとDS RRsetの両方で表される鍵で署名する必要があります。その場合、親は他の方法でCDS / CDNSKEYを検証します(セクション6.1とセキュリティに関する考慮事項を参照)。
o Continuity: MUST NOT break the current delegation if applied to DS RRset.
o 継続性:DS RRsetに適用される場合、現在の委任を破棄してはなりません。
If any these conditions fail, the CDS or CDNSKEY resource record MUST be ignored, and this error SHOULD be logged.
これらの条件のいずれかが失敗した場合、CDSまたはCDNSKEYリソースレコードを無視する必要があり、このエラーをログに記録する必要があります(SHOULD)。
The Child DNS Operator publishes CDS/CDNSKEY RRset(s). In order to be valid, the CDS/CDNSKEY RRset(s) MUST be compliant with the rules in Section 4.1. When the Parent DS is in sync with the CDS/CDNSKEY RRset(s), the Child DNS Operator MAY delete the CDS/CDNSKEY RRset(s); the Child can determine if this is the case by querying for DS records in the Parent.
子DNSオペレーターは、CDS / CDNSKEY RRsetを公開します。有効であるためには、CDS / CDNSKEY RRsetがセクション4.1の規則に準拠している必要があります。親DSがCDS / CDNSKEY RRset(s)と同期している場合、子DNSオペレーターはCDS / CDNSKEY RRset(s)を削除してもよい(MAY)。子は、親のDSレコードを照会することで、これが当てはまるかどうかを判断できます。
The CDS/CDNSKEY RRset(s) SHOULD be used by the Parental Agent to update the DS RRset in the Parent zone. The Parental Agent for this uses a tool that understands the CDS/CDNSKEY signing rules in Section 4.1, so it might not be able to use a standard validator.
CDS / CDNSKEY RRset(s)は、親ゾーンでDS RRsetを更新するために、親エージェントによって使用されるべきです(SHOULD)。このための親エージェントは、セクション4.1のCDS / CDNSKEY署名ルールを理解するツールを使用するため、標準のバリデーターを使用できない場合があります。
The Parent MUST choose to use either CDNSKEY or CDS resource records as its default updating mechanism. The Parent MAY only accept either CDNSKEY or CDS, but it MAY also accept both so it can use the other in the absence of the default updating mechanism; it MUST NOT expect there to be both.
親は、デフォルトの更新メカニズムとしてCDNSKEYまたはCDSリソースレコードを使用することを選択する必要があります。親はCDNSKEYまたはCDSのいずれかのみを受け入れることができますが、デフォルトの更新メカニズムが存在しない場合に他方を使用できるように両方を受け入れることもできます(MAY)。両方が存在することを期待してはなりません。
How the Parental Agent gets the CDS/CDNSKEY RRset may differ. Below are two examples of how this can take place.
保護者エージェントがCDS / CDNSKEY RRsetを取得する方法は異なる場合があります。以下は、これがどのように行われるかの2つの例です。
Polling: The Parental Agent operates a tool that periodically checks each of the Children that has a DS record to see if there is a CDS or CDNSKEY RRset.
ポーリング:保護者エージェントは、DSレコードを持つ各子を定期的にチェックして、CDSまたはCDNSKEY RRsetがあるかどうかを確認するツールを操作します。
Pushing: The delegation user interface has a button {Fetch DS} that, when pushed, performs the CDS/CDNSKEY processing. If the Parent zone does not contain DS for this delegation, then the "push" SHOULD be ignored. If the Parental Agent displays the contents of the CDS/CDNSKEY to the user and gets confirmation that this represents their key, the Parental Agent MAY use this for initial enrollment (when the Parent zone does not contain the DS for this delegation).
プッシュ:委任ユーザーインターフェイスにはボタン{Fetch DS}があり、プッシュするとCDS / CDNSKEY処理を実行します。親ゾーンにこの委任のDSが含まれていない場合、「プッシュ」は無視してください。保護者エージェントがCDS / CDNSKEYの内容をユーザーに表示し、これが彼らのキーを表していることの確認を受け取った場合、保護者エージェントはこれを初期登録に使用できます(親ゾーンにこの委任のDSが含まれていない場合)。
In either case, the Parental Agent MAY apply additional rules that defer the acceptance of a CDS/CDNSKEY change. These rules may include a condition that the CDS/CDNSKEY remains in place and valid for some time period before it is accepted. It may be appropriate in the "Pushing" case to assume that the Child is ready and thus accept changes without delay.
どちらの場合でも、保護者のエージェントは、CDS / CDNSKEYの変更の受け入れを延期する追加のルールを適用できます(MAY)。これらのルールには、CDS / CDNSKEYが所定の位置にあり、受け入れられるまでの一定期間有効であるという条件が含まれる場合があります。 「プッシング」の場合、子は準備ができていると想定して、変更を遅滞なく受け入れることが適切な場合があります。
This is the only defined use of CDS/CDNSKEY resource records in this document. There are limits to the scalability of polling techniques; thus, some other mechanism is likely to be specified later that addresses CDS/CDNSKEY resource record usage in the situation where polling runs into scaling issues. Having said that, polling will work in many important cases such as enterprises, universities, and smaller TLDs. In many regulatory environments, the Registry is prohibited from talking to the Registrant. In most of these cases, the Registrant has a business relationship with the Registrar, so the Registrar can offer this as a service.
これは、このドキュメントでCDS / CDNSKEYリソースレコードの唯一の定義された使用法です。ポーリングテクニックのスケーラビリティには制限があります。したがって、ポーリングがスケーリングの問題に遭遇する状況でCDS / CDNSKEYリソースレコードの使用に対処する他のメカニズムが後で指定される可能性があります。そうは言っても、投票は企業、大学、小規模なTLDなどの多くの重要なケースで機能します。多くの規制環境では、レジストリは登録者と話すことが禁止されています。これらのほとんどの場合、レジストラントはレジストラとビジネス上の関係があるため、レジストラはこれをサービスとして提供できます。
If the CDS/CDNSKEY RRset(s) do not exist, the Parental Agent MUST take no action. Specifically, it MUST NOT delete or alter the existing DS RRset.
CDS / CDNSKEY RRset(s)が存在しない場合、ペアレンタルエージェントは何も実行してはなりません(MUST)。具体的には、既存のDS RRsetを削除または変更してはなりません(MUST NOT)。
It is assumed that other mechanisms will be implemented to trigger the Parent to look for an updated CDS/CDNSKEY RRset. As the CDS/ CDNSKEY resource records are validated with DNSSEC, these mechanisms can be unauthenticated. As an example, a Child could telephone its Parent and request that it process the new CDS or CDNSKEY resource records, or an unauthenticated POST could be made to a web server (with rate-limiting).
更新されたCDS / CDNSKEY RRsetを探すように親をトリガーする他のメカニズムが実装されることが想定されています。 CDS / CDNSKEYリソースレコードはDNSSECで検証されるため、これらのメカニズムは認証されない場合があります。例として、子はその親に電話をかけて、新しいCDSまたはCDNSKEYリソースレコードを処理するよう要求するか、認証されていないPOSTを(レート制限付きで)Webサーバーに対して行うことができます。
Other documents can specify the trigger conditions.
他のドキュメントはトリガー条件を指定できます。
Regardless of how the Parental Agent detected changes to a CDS/ CDNSKEY RRset, the Parental Agent SHOULD use a DNSSEC validator to obtain a validated CDS/CDNSKEY RRset from the Child zone. A NOT RECOMMENDED exception to this is if the Parent performs some additional validation on the data to confirm that it is the "correct" key.
親エージェントがCDS / CDNSKEY RRsetへの変更を検出した方法に関係なく、親エージェントはDNSSECバリデーターを使用して、検証されたCDS / CDNSKEY RRsetを子ゾーンから取得する必要があります。これに対する推奨されない例外は、親がデータに対して追加の検証を実行して、それが「正しい」キーであることを確認する場合です。
The Parental Agent MUST ensure that previous versions of the CDS/ CDNSKEY RRset do not overwrite more recent versions. This MAY be accomplished by checking that the signature inception in the Resource Record Signature (RRSIG) for CDS/CDNSKEY RRset is later and/or that the serial number on the Child's Start of Authority (SOA) is greater. This may require the Parental Agent to maintain some state information.
保護者エージェントは、CDS / CDNSKEY RRsetの以前のバージョンがより新しいバージョンを上書きしないようにする必要があります。これは、CDS / CDNSKEY RRsetのリソースレコード署名(RRSIG)の署名の開始が後であること、および/または子の権限の開始(SOA)のシリアル番号が大きいことを確認することで達成できます(MAY)。これには、親エージェントがいくつかの状態情報を維持する必要がある場合があります。
The Parental Agent MAY take extra security measures. For example, to mitigate the possibility that a Child's Key Signing Key (KSK) has been compromised, the Parental Agent may inform (by email or other methods) the Child DNS Operator of the change. However, the precise out-of-band measures that a Parent zone takes are outside the scope of this document.
保護者用エージェントは、追加のセキュリティ対策を講じる場合があります。たとえば、子の鍵署名鍵(KSK)が危険にさらされている可能性を軽減するために、保護者のエージェントは変更を子DNSオペレーターに(電子メールまたはその他の方法で)通知する場合があります。ただし、親ゾーンが実行する正確な帯域外対策は、このドキュメントの範囲外です。
Once the Parental Agent has obtained a valid CDS/CDNSKEY RRset it MUST check the publication rules from Section 4.1. In particular, the Parental Agent MUST check the Continuity rule and do its best not to invalidate the Child zone. Once checked, if the information in the CDS/CDNSKEY and DS differ, it may apply the changes to the Parent zone. If the Parent consumes CDNSKEY, the Parent should calculate the DS before doing this comparison.
保護者エージェントが有効なCDS / CDNSKEY RRsetを取得したら、セクション4.1の公開ルールを確認する必要があります。特に、Parental AgentはContinuityルールをチェックし、Childゾーンを無効にしないように最善を尽くす必要があります。チェックすると、CDS / CDNSKEYとDSの情報が異なる場合、親ゾーンに変更が適用される場合があります。親がCDNSKEYを使用する場合、親はこの比較を行う前にDSを計算する必要があります。
There are cases where the Parent wants to calculate the DS record due to policy reasons. In this case, the Child publishes CDNSKEY records, and the Parent calculates the DS records on behalf of the Children.
ポリシー上の理由により、親がDSレコードを計算したい場合があります。この場合、子はCDNSKEYレコードを発行し、親は子に代わってDSレコードを計算します。
When a Parent operates in "calculate DS" mode, it can operate in one of two sub-modes:
親が「DSの計算」モードで動作する場合、2つのサブモードのいずれかで動作できます。
full: The Parent only publishes DS records it calculates from DNSKEY records.
full:親はDNSKEYレコードから計算したDSレコードのみを公開します。
augment: The Parent will make sure there are DS records for the digest algorithm(s) it requires(s).
augment:親は、必要なダイジェストアルゴリズムのDSレコードがあることを確認します。
In the case where the Parent fetches the CDNSKEY RRset and calculates the DS, the resulting DS can differ from the CDS published by the Child. It is expected that the differences are only due to the different set of digest algorithms used.
親がCDNSKEY RRsetをフェッチしてDSを計算する場合、結果のDSは子によって発行されたCDSと異なる場合があります。違いは、使用されるダイジェストアルゴリズムのセットが異なるためのみであると予想されます。
IANA has assigned RR Type code 59 for the CDS resource record. This was done for a draft version whose content was later incorporated into this document [DNS-TRANSPORT]. This document is the reference for CDS RRtype.
IANAはCDSリソースレコードにRRタイプコード59を割り当てました。これはドラフトバージョン用に行われ、その内容は後でこのドキュメントに組み込まれました[DNS-TRANSPORT]。このドキュメントは、CDS RRtypeのリファレンスです。
IANA has assigned an RR Type for the CDNSKEY as described below:
IANAは、以下で説明するように、CDNSKEYのRRタイプを割り当てています。
Type: CDNSKEY
タイプ:CDNSKEY
Value: 60
値:60
Meaning: DNSKEY(s) the Child wants reflected in DS
意味:子がDSに反映したいDNSKEY(s)
Reference: This document
参照:このドキュメント
All of the information handled or transmitted by this protocol is public information published in the DNS.
このプロトコルで処理または送信される情報はすべて、DNSで公開されている公開情報です。
This work is for the normal case; when things go wrong there is only so much that automation can fix.
この作業は通常の場合のものです。物事がうまくいかないときは、自動化で修正できるものはたくさんあります。
If the Child breaks DNSSEC validation by removing all the DNSKEYs that are represented in the DS set, its only repair actions are to contact the Parent or restore the DNSKEYs in the DS set.
子がDSSECセットで表されているすべてのDNSKEYを削除することによってDNSSEC検証を破った場合、その修復アクションは、親に連絡するか、DSセットのDNSKEYを復元することだけです。
In the event of a compromise of the server or system generating signatures for a zone, an attacker might be able to generate and publish new CDS/CDNSKEY resource records. The modified CDS/CDNSKEY records will be picked up by this technique and may allow the attacker to extend the effective time of his attack. If there is a delay in accepting changes to DS, as in [RFC5011], then the attacker needs to hope his activity is not detected before the DS in the Parent is changed. If this type of change takes place, the Child needs to contact the Parent (possibly via a Registrar web interface) and remove any compromised DS keys.
ゾーンの署名を生成するサーバーまたはシステムが侵害された場合、攻撃者は新しいCDS / CDNSKEYリソースレコードを生成および公開できる可能性があります。変更されたCDS / CDNSKEYレコードはこの手法によって取得され、攻撃者が攻撃の有効時間を延長できる可能性があります。 [RFC5011]のようにDSへの変更の受け入れに遅延がある場合、親のDSが変更される前に、攻撃者は自分のアクティビティが検出されないことを期待する必要があります。このタイプの変更が行われた場合、子は親に連絡し(おそらくレジストラーのWebインターフェースを介して)、侵害されたDSキーを削除する必要があります。
A compromise of the account with the Parent (e.g., Registrar) will not be mitigated by this technique, as the "new Registrant" can delete or modify the DS records at will.
「新しい登録者」はDSレコードを自由に削除または変更できるため、親(レジストラなど)とのアカウントの侵害はこの手法によって軽減されません。
While it may be tempting, the techniques specified in this document SHOULD NOT be used for initial enrollment of keys since there is no way to ensure that the initial key is the correct one. If it is used, strict rules for inclusion of keys -- such as hold-down times, challenge data inclusion, or similar -- MUST be used along with some kind of challenge mechanism. A Child cannot use this mechanism to go from signed to unsigned (publishing an empty CDS/CDNSKEY RRset means no change should be made in the Parent).
魅力的かもしれませんが、このドキュメントで指定されている手法は、初期キーが正しいものであることを確認する方法がないため、キーの初期登録には使用しないでください。使用する場合は、キーを含めるための厳密な規則(ホールドダウン時間、チャレンジデータの包含など)を、なんらかのチャレンジメカニズムと共に使用する必要があります。子は、このメカニズムを使用して署名付きから署名なしに移行することはできません(空のCDS / CDNSKEY RRsetを公開すると、親で変更を行う必要がなくなります)。
The CDS RR type should allow for enhanced security by simplifying the process. Since key change is automated, updating a DS RRset by other means may be regarded as unusual and subject to extra security checks.
CDS RRタイプは、プロセスを簡略化することにより、セキュリティを強化できる必要があります。キーの変更は自動化されているため、他の方法でDS RRsetを更新することは通常とは異なり、追加のセキュリティチェックの対象となる場合があります。
As this introduces a new mechanism to update information in the Parent, it MUST be clear who is fetching the records and creating the appropriate records in the Parent zone. Specifically, some operations may use mechanisms other than what is described here. For example, a Registrar may assume that it is maintaining the DNSSEC key information in the Registry and may have this cached. If the Registry is fetching the CDS/CDNSKEY RRset, then the Registry and Registrar may have different views of the DNSSEC key material; the result of such a situation is unclear. Therefore, this mechanism SHOULD NOT be used to bypass intermediaries that might cache information and, because of that, get the wrong state.
これにより、親の情報を更新する新しいメカニズムが導入されるため、レコードをフェッチし、親ゾーンに適切なレコードを作成しているのが誰であるかを明確にする必要があります。具体的には、一部の操作は、ここで説明されている以外のメカニズムを使用する場合があります。たとえば、レジストラはDNSSECキー情報をレジストリに保持していると想定し、これをキャッシュする場合があります。レジストリがCDS / CDNSKEY RRsetをフェッチしている場合、レジストリとレジストラはDNSSECキーマテリアルの異なるビューを持っている可能性があります。このような状況の結果は不明です。したがって、このメカニズムは、情報をキャッシュする可能性のある仲介者をバイパスし、そのために誤った状態を取得するために使用してはなりません(SHOULD NOT)。
If there is a failure in applying changes in the Child zone to all DNS servers listed in either Parent or Child NS set, it is possible that the Parental Agent may get confused either because it gets different answers on different checks or CDS RR validation fails. In the worst case, the Parental Agent performs an action reversing a prior action after the Child signing system decides to take the next step in the key change process, resulting in a broken delegation.
子ゾーンの変更を、親または子NSセットのいずれかにリストされているすべてのDNSサーバーに適用することに失敗した場合、親エージェントが異なるチェックで異なる回答を取得するか、CDS RR検証が失敗するため、親エージェントが混乱する可能性があります。最悪の場合、Child署名システムがキー変更プロセスの次のステップを実行することを決定した後、Parental Agentは以前のアクションを逆転するアクションを実行し、その結果、委任が壊れます。
DNS is a loosely coherent distributed database with local caching; therefore, it is important to allow old information to expire from caches before deleting DS or DNSKEY records. Similarly, it is important to allow new records to propagate through the DNS before use (see [RFC6781]).
DNSは、ローカルキャッシングを備えた疎結合の分散データベースです。したがって、DSまたはDNSKEYレコードを削除する前に、古い情報をキャッシュから失効させることが重要です。同様に、新しいレコードが使用前にDNSを介して伝播できるようにすることが重要です([RFC6781]を参照)。
It is common practice for users to outsource their DNS hosting to a third-party DNS provider. In order for that provider to be able to maintain the DNSSEC information, some users give the provider their Registrar login credentials (which obviously has negative security implications). Deploying the solution described in this document allows third-party DNS providers to maintain the DNSSEC information without Registrants giving their Registrar credentials, thereby improving security.
ユーザーがDNSホスティングをサードパーティのDNSプロバイダーに外部委託することは一般的な慣行です。そのプロバイダーがDNSSEC情報を維持できるようにするために、一部のユーザーはプロバイダーにRegistrarログイン資格情報を提供します(これは明らかにセキュリティに悪影響を及ぼします)。このドキュメントで説明するソリューションを展開すると、サードパーティのDNSプロバイダーは、登録者がレジストラーの資格情報を提供しなくてもDNSSEC情報を維持できるため、セキュリティが向上します。
By automating the maintenance of the DNSSEC key information (and removing humans from the process), we expect to decrease the number of DNSSEC related outages, which should increase DNSSEC deployment.
DNSSECキー情報の保守を自動化(およびプロセスから人間を削除)することで、DNSSEC関連の停止の数が減り、DNSSECの展開が増えると予想されます。
We would like to thank a large number of folk, including Mark Andrews, Joe Abley, Jaap Akkerhuis, Roy Arends, Doug Barton, Brian Dickson, Paul Ebersman, Tony Finch, Jim Galvin, Paul Hoffman, Samir Hussain, Tatuya Jinmei, Olaf Kolkman, Stephan Lagerholm, Cricket Liu, Matt Larson, Marco Sanz, Antoin Verschuren, Suzanne Woolf, Paul Wouters, John Dickinson, Timothe Litt, and Edward Lewis.
Mark Andrews、Joe Abley、Jaap Akkerhuis、Roy Arends、Doug Barton、Brian Dickson、Paul Ebersman、Tony Finch、Jim Galvin、Paul Hoffman、Samir Hussain、Tatuya Jinmei、Olaf Kolkmanなど、多くの方々に感謝いたします。 、Stephan Lagerholm、Cricket Liu、Matt Larson、Marco Sanz、Antoin Verschuren、Suzanne Woolf、Paul Wouters、John Dickinson、Timothe Litt、Edward Lewis。
Special thanks to Wes Hardaker for contributing significant text and creating the complementary (CSYNC) solution, and to Patrik Faltstrom, Paul Hoffman, Matthijs Mekking, Mukund Sivaraman, and Jeremy C. Reed for text and in-depth review. Brian Carpenter provided a good Gen-ART review.
重要なテキストを提供し、補完的な(CSYNC)ソリューションを作成してくれたWes Hardakerと、テキストと詳細なレビューについてPatrik Faltstrom、Paul Hoffman、Matthijs Mekking、Mukund Sivaraman、およびJeremy C. Reedに特に感謝します。 Brian CarpenterがGen-ARTの優れたレビューを提供しました。
There were a number of other folk with whom we discussed this document; apologies for not remembering everyone.
このドキュメントについて話し合った人は他にもたくさんいました。みんなを思い出せないことをお詫びします。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[RFC1035] Mockapetris、P。、「ドメイン名-実装と仕様」、STD 13、RFC 1035、1987年11月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、2005年3月。
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのリソースレコード」、RFC 4034、2005年3月。
[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[RFC4035] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのプロトコル変更」、RFC 4035、2005年3月。
[RFC5011] StJohns, M., "Automated Updates of DNS Security (DNSSEC) Trust Anchors", STD 74, RFC 5011, September 2007.
[RFC5011] StJohns、M。、「DNSセキュリティ(DNSSEC)トラストアンカーの自動更新」、STD 74、RFC 5011、2007年9月。
[RFC6781] Kolkman, O., Mekking, W., and R. Gieben, "DNSSEC Operational Practices, Version 2", RFC 6781, December 2012.
[RFC6781] Kolkman、O.、Mekking、W。、およびR. Gieben、「DNSSEC Operational Practices、Version 2」、RFC 6781、2012年12月。
[AUTO-CPSYNC] Mekking, W., "Automated (DNSSEC) Child Parent Synchronization using DNS UPDATE", Work in Progress, December 2010.
[AUTO-CPSYNC] Mekking、W。、「DNS UPDATEを使用した自動(DNSSEC)子親同期」、作業中、2010年12月。
[CPSYNC-DNS] Hardaker, W., "Child To Parent Synchronization in DNS", Work in Progress, July 2014.
[CPSYNC-DNS] Hardaker、W。、「DNSの子から親への同期」、進行中の作業、2014年7月。
[DNS-TRANSPORT] Barwood, G., "DNS Transport", Work in Progress, June 2011.
[DNS-TRANSPORT] Barwood、G。、「DNS Transport」、Work in Progress、2011年6月。
[PARENT-ZONES] Andrews, M., "Updating Parent Zones", Work in Progress, November 2013.
[PARENT-ZONES]アンドリュース、M。、「親ゾーンの更新」、作業中、2013年11月。
[RFC5730] Hollenbeck, S., "Extensible Provisioning Protocol (EPP)", STD 69, RFC 5730, August 2009.
[RFC5730] Hollenbeck、S。、「Extensible Provisioning Protocol(EPP)」、STD 69、RFC 5730、2009年8月。
[RFC5910] Gould, J. and S. Hollenbeck, "Domain Name System (DNS) Security Extensions Mapping for the Extensible Provisioning Protocol (EPP)", RFC 5910, May 2010.
[RFC5910] Gould、J。およびS. Hollenbeck、「Extensible Provisioning Protocol(EPP)のドメインネームシステム(DNS)セキュリティ拡張マッピング」、RFC 5910、2010年5月。
RRR is our shorthand for the Registry/Registrar/Registrant model of Parent-Child relationships.
RRRは、親子関係のレジストリ/レジストラー/登録者モデルの省略形です。
In the RRR world, the different parties are frequently from different organizations. In the single enterprise world, there are also organizational, geographical, and cultural separations that affect how information flows from a Child to the Parent.
RRRの世界では、さまざまな当事者がさまざまな組織に所属していることがよくあります。単一の企業の世界では、組織から地理的、文化的に分離されており、子供から親への情報の流れに影響を与えます。
Due to the complexity of the different roles and interconnections, automation of delegation information has not yet occurred. There have been proposals to automate this, in order to improve the reliability of the DNS. These proposals have not gained enough traction to become standards.
さまざまな役割と相互接続が複雑であるため、委任情報の自動化はまだ行われていません。 DNSの信頼性を向上させるために、これを自動化する提案がありました。これらの提案は、標準となるのに十分な勢いを得ていません。
For example, in many of the TLD cases, there is the RRR model (Registry/Registrar/Registrant). The Registry operates DNS for the TLD, and the Registrars accept registrations and place information into the Registry's database. The Registrant only communicates with the Registrar; frequently, the Registry is not allowed to communicate with the Registrant. In that case, as far as the Registrant is concerned, the Registrar is the same entity as the Parent.
たとえば、TLDの多くのケースでは、RRRモデルがあります(Registry / Registrar / Registrant)。レジストリはTLDのDNSを操作し、レジストラは登録を受け入れ、情報をレジストリのデータベースに配置します。登録者は、登録者とのみ通信します。多くの場合、レジストリは登録者との通信を許可されていません。その場合、登録者に関する限り、登録者は親と同じエンティティです。
In many RRR cases, the Registrar and Registry communicate via EPP [RFC5730] and use the EPP DNSSEC extension [RFC5910]. In a number of Country Code TLDs (ccTLDs), there are other mechanisms in use as well as EPP, but in general, there seems to be a movement towards EPP usage when DNSSEC is enabled in the TLD.
多くのRRRの場合、レジストラとレジストリはEPP [RFC5730]を介して通信し、EPP DNSSEC拡張[RFC5910]を使用します。多くの国コードTLD(ccTLD)では、EPPと同様に他のメカニズムが使用されていますが、一般に、TLLDでDNSSECが有効になっている場合、EPPの使用に移行するようです。
This section shows an example on how CDS is used when performing a KSK rollover. This example will demonstrate the Double-DS rollover method from Section 4.1.2 of [RFC6781]. Other rollovers using CDNSKEY and double KSK are left as an exercise to the reader. The table below does not reflect the Zone Signing Keys (ZSKs) as they do not matter during KSK rollovers. The wait steps highlight what RRset needs to expire from caches before progressing to the next step.
このセクションでは、KSKロールオーバーを実行する場合のCDSの使用例を示します。この例では、[RFC6781]のセクション4.1.2のDouble-DSロールオーバー方法を示します。 CDNSKEYとダブルKSKを使用する他のロールオーバーは、読者への課題として残されています。以下の表は、ゾーン署名キー(ZSK)を反映していません。これらは、KSKロールオーバー中は重要ではないためです。待機ステップは、次のステップに進む前に、RRsetがキャッシュから期限切れになる必要があるものを強調表示します。
+------+---------------+---------+---------+--------------+---------+
| Step | State | Parent | Child | DNSKEY and | Child |
| | | DS | KSK | CDS signer | CDS |
+------+---------------+---------+---------+--------------+---------+
| | Beginning | A | A | A | |
| 1 | Add CDS | A | A | A | AB |
| Wait | for DS change | A | A | A | AB |
| 2 | Updated DS | AB | A | A | AB |
| Wait | > DS TTL | AB | A | A | AB |
| 3 | Actual | AB | B | B | AB |
| | Rollover | | | | |
| Wait | > DNSKEY TTL | AB | B | B | AB |
| 4 | Child Cleanup | AB | B | B | B |
| 5 | Parent cleans | B | B | B | B |
| 6 | Optional CDS | B | B | B | |
| | delete | | | | |
+------+---------------+---------+---------+--------------+---------+
Table 1: States
表1:状態
Authors' Addresses
著者のアドレス
Warren Kumari Google 1600 Amphitheatre Parkway Mountain View, CA 94043 US
ウォーレンクマリGoogle 1600 Amphitheatre Parkway Mountain View、CA 94043 US
EMail: warren@kumari.net
Olafur Gudmundsson OGUD Consulting 3821 Village Park Dr. Chevy Chase, MD 20815 US
Olafur Gudmundsson OGUD Consulting 3821 Village Park Dr. Chevy Chase、MD 20815 US
EMail: ogud@ogud.com
George Barwood 33 Sandpiper Close Gloucester GL2 4LZ United Kingdom
George Barwood 33 Sandpiper Close Gloucester GL2 4LZイギリス
EMail: george.barwood@blueyonder.co.uk