[要約] RFC 9364はDNS Security Extensions(DNSSEC)に関するRFC 4033、4034、4035などをまとめたもので、DNSSECの多様な側面を理解するための情報を提供します。DNSデータの起源認証にDNSSECを使用することが現在のベストプラクティスであり、他の文書がDNSSECを参照するための単一の参照情報源を提供します。
Internet Engineering Task Force (IETF) P. Hoffman
Request for Comments: 9364 ICANN
BCP: 237 February 2023
Category: Best Current Practice
ISSN: 2070-1721
This document describes the DNS Security Extensions (commonly called "DNSSEC") that are specified in RFCs 4033, 4034, and 4035, as well as a handful of others. One purpose is to introduce all of the RFCs in one place so that the reader can understand the many aspects of DNSSEC. This document does not update any of those RFCs. A second purpose is to state that using DNSSEC for origin authentication of DNS data is the best current practice. A third purpose is to provide a single reference for other documents that want to refer to DNSSEC.
このドキュメントでは、RFCS 4033、4034、および4035で指定されているDNSセキュリティエクステンション(一般に「DNSSEC」と呼ばれる)とその他の数が記載されています。1つの目的は、読者がDNSSECの多くの側面を理解できるように、すべてのRFCを1か所に導入することです。このドキュメントでは、これらのRFCのいずれも更新されません。2番目の目的は、DNSデータの原点認証にDNSSECを使用することが最良の現在の練習であると述べることです。3番目の目的は、DNSSECを参照したい他のドキュメントに単一の参照を提供することです。
This memo documents an Internet Best Current Practice.
このメモは、インターネットの最高の現在の練習を文書化しています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on BCPs is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。BCPSの詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9364.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9364で取得できます。
Copyright (c) 2023 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2023 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction
1.1. DNSSEC as a Best Current Practice
1.2. Implementing DNSSEC
2. DNSSEC Core Documents
2.1. Addition to the DNSSEC Core
3. Additional Cryptographic Algorithms and DNSSEC
4. Extensions to DNSSEC
5. Additional Documents of Interest
6. IANA Considerations
7. Security Considerations
8. References
8.1. Normative References
8.2. Informative References
Acknowledgements
Author's Address
The core specification for what we know as DNSSEC (the combination of [RFC4033], [RFC4034], and [RFC4035]) describes a set of protocols that provide origin authentication of DNS data. [RFC6840] updates and extends those core RFCs but does not fundamentally change the way that DNSSEC works.
DNSSEC([RFC4033]、[RFC4034]、および[RFC4035]の組み合わせ)として知っていることのコア仕様は、DNSデータの起源認証を提供する一連のプロトコルを説明しています。[RFC6840]これらのコアRFCを更新および拡張しますが、DNSSECの動作方法を根本的に変更しません。
This document lists RFCs that should be considered by someone creating an implementation of, or someone deploying, DNSSEC as it is currently standardized. Although an effort was made to be thorough, the reader should not assume this list is comprehensive. It uses terminology from those documents without defining that terminology. It also points to the relevant IANA registry groups that relate to DNSSEC. It does not, however, point to standards that rely on zones needing to be signed by DNSSEC, such as DNS-Based Authentication of Named Entities (DANE) [RFC6698].
このドキュメントには、現在標準化されているため、DNSSECの実装を作成する人、または展開している人が考慮すべきRFCがリストされています。徹底的にするための努力がなされましたが、読者はこのリストが包括的であると仮定すべきではありません。その用語を定義せずに、これらのドキュメントから用語を使用します。また、DNSSECに関連する関連するIANAレジストリグループも指しています。ただし、DNSベースの名前付きエンティティ(DANE)[RFC6698]など、DNSSECが署名する必要があるゾーンに依存する基準を指し示していません。
Using the DNSSEC set of protocols is the best current practice for adding origin authentication of DNS data. To date, no Standards Track RFCs offer any other method for such origin authentication of data in the DNS.
DNSSECのプロトコルセットを使用することは、DNSデータの原点認証を追加するための最良の現在のプラクティスです。現在までに、RFCがDNSのデータのそのような起源認証のための他の方法を提供する標準はありません。
More than 15 years after the DNSSEC specification was published, it is still not widely deployed. Recent estimates are that fewer than 10% of the domain names used for websites are signed, and only around a third of queries to recursive resolvers are validated. However, this low level of deployment does not affect whether using DNSSEC is a best current practice; it just indicates that the value of deploying DNSSEC is often considered lower than the cost. Nonetheless, the significant deployment of DNSSEC beneath some top-level domains (TLDs) and the near-universal deployment of DNSSEC for the TLDs in the DNS root zone demonstrate that DNSSEC is applicable for implementation by both ordinary and highly sophisticated domain owners.
DNSSEC仕様が公開されてから15年以上経ってから15年以上経ってから、まだ広く展開されていません。最近の推定では、Webサイトに使用されるドメイン名の10%未満が署名されており、再帰的なリゾルバーへのクエリの約3分の1のみが検証されているということです。ただし、この低レベルの展開は、DNSSECを使用することが最良の現在のプラクティスであるかどうかには影響しません。DNSSECの展開の価値は、多くの場合、コストよりも低いと見なされることを示しています。それにもかかわらず、いくつかのトップレベルドメイン(TLD)の下でのDNSSECの重要な展開と、DNSルートゾーンのTLDSのDNSSECの近系統展開は、DNSSECが通常および非常に洗練されたドメイン所有者の両方による実装に適用できることを示しています。
Developers of validating resolvers and authoritative servers, as well as operators of validating resolvers and authoritative servers, need to know the parts of the DNSSEC protocol that would affect them. They should read the DNSSEC core documents and probably at least be familiar with the extensions. Developers will probably need to be very familiar with the algorithm documents as well.
リゾルバーと権威あるサーバーを検証する開発者、ならびにリゾルバーと権威あるサーバーの検証のオペレーターは、それらに影響を与えるDNSSECプロトコルの部分を知る必要があります。彼らはDNSSECコアドキュメントを読み、おそらく拡張機能に精通している必要があります。開発者は、おそらくアルゴリズムドキュメントにも非常に精通する必要があります。
As a side note, some of the DNSSEC-related RFCs have significant errata, so reading the RFCs should also include looking for the related errata.
サイドノートとして、DNSSEC関連のRFCの一部には有意なエラッタがあるため、RFCを読むことには、関連する正誤表の探すことも含まれる必要があります。
What we refer to as "DNSSEC" is the third iteration of the DNSSEC specification; [RFC2065] was the first, and [RFC2535] was the second. Earlier iterations have not been deployed on a significant scale. Throughout this document, "DNSSEC" means the protocol initially defined in [RFC4033], [RFC4034], and [RFC4035].
「DNSSEC」と呼ばれるのは、DNSSEC仕様の3回目の反復です。[RFC2065]が最初であり、[RFC2535]が2番目でした。以前の反復は、重要な規模で展開されていません。このドキュメント全体で、「DNSSEC」とは、[RFC4033]、[RFC4034]、および[RFC4035]で最初に定義されたプロトコルを意味します。
The three initial core documents generally cover different topics:
通常、3つの初期コアドキュメントは異なるトピックをカバーしています。
* [RFC4033] is an overview of DNSSEC, including how it might change the resolution of DNS queries.
* [RFC4033]は、DNSクエリの解像度をどのように変更するかを含むDNSSECの概要です。
* [RFC4034] specifies the DNS resource records used in DNSSEC. It obsoletes many RFCs about earlier versions of DNSSEC.
* [RFC4034]は、DNSSECで使用されるDNSリソースレコードを指定します。DNSSECの以前のバージョンについて多くのRFCを廃止します。
* [RFC4035] covers the modifications to the DNS protocol incurred by DNSSEC. These include signing zones, serving signed zones, resolving in light of DNSSEC, and authenticating DNSSEC-signed data.
* [RFC4035]は、DNSSECが発生したDNSプロトコルの変更をカバーしています。これらには、ゾーンの署名、署名ゾーンの提供、DNSSECに照らして解決するゾーン、およびDNSSECに署名したデータの認証が含まれます。
At the time this set of core documents was published, someone could create a DNSSEC implementation of signing software, of a DNSSEC-aware authoritative server, and/or of a DNSSEC-aware recursive resolver from the three core documents, plus a few older RFCs specifying the cryptography used. Those two older documents are the following:
このコアドキュメントのセットが公開された時点で、誰かが3つのコアドキュメントからのDNSSECに認識された再帰リゾルバーの署名ソフトウェア、DNSSECに認識される権威あるサーバーのDNSSEC実装を作成することができます。使用される暗号化の指定。これらの2つの古いドキュメントは次のとおりです。
* [RFC2536] defines how to use the DSA signature algorithm (although it refers to other documents for the details). DSA was thinly implemented and can safely be ignored by DNSSEC implementations.
* [RFC2536]は、DSA署名アルゴリズムの使用方法を定義します(ただし、詳細については他のドキュメントを参照しています)。DSAは薄く実装されており、DNSSECの実装では安全に無視できます。
* [RFC3110] defines how to use the RSA signature algorithm (although refers to other documents for the details). RSA is still among the most popular signing algorithms for DNSSEC.
* [RFC3110]は、RSA署名アルゴリズムの使用方法を定義します(ただし、詳細については他のドキュメントを参照しています)。RSAは、DNSSECの最も人気のある署名アルゴリズムの1つです。
It is important to note that later RFCs update the core documents. As just one example, [RFC9077] changes how TTL values are calculated in DNSSEC processing.
後のRFCSがコアドキュメントを更新することに注意することが重要です。ほんの一例として、[RFC9077]は、DNSSEC処理でTTL値の計算方法を変更します。
As with any major protocol, developers and operators discovered issues with the original core documents over the years. [RFC6840] is an omnibus update to the original core documents and thus itself has become a core document. In addition to covering new requirements from new DNSSEC RFCs, it describes many important security and interoperability issues that arose during the deployment of the initial specifications, particularly after the DNS root was signed in 2010. It also lists some errors in the examples of the core specifications.
他の主要なプロトコルと同様に、開発者とオペレーターは、長年にわたって元のコアドキュメントに関する問題を発見しました。[RFC6840]は、元のコアドキュメントのオムニバスの更新であるため、それ自体がコアドキュメントになりました。新しいDNSSEC RFCSからの新しい要件をカバーすることに加えて、特に2010年にDNSルートが署名された後、初期仕様の展開中に発生した多くの重要なセキュリティと相互運用性の問題について説明します。また、コアの例にいくつかのエラーをリストします。仕様。
[RFC6840] brings a few additions into the core of DNSSEC. It makes NSEC3 [RFC5155] as much a part of DNSSEC as NSEC is. It also makes the SHA-256 and SHA-512 hash functions defined in [RFC4509] and [RFC5702] part of the core.
[RFC6840]は、DNSSECのコアにいくつかの追加をもたらします。nsec3 [RFC5155]をNSECと同じくらいDNSSECの一部にします。また、[RFC4509]および[RFC5702]の一部で定義されたSHA-256およびSHA-512ハッシュ関数をコアの一部にします。
Current cryptographic algorithms typically weaken over time as computing power improves and new cryptoanalysis emerges. Two new signing algorithms have been adopted by the DNSSEC community: Elliptic Curve Digital Signature Algorithm (ECDSA) [RFC6605] and Edwards-curve Digital Signature Algorithm (EdDSA) [RFC8080]. ECDSA and EdDSA have become very popular signing algorithms in recent years. The GOST signing algorithm [GOST-SIGN] was also adopted but has seen very limited use, likely because it is a national algorithm specific to a very small number of countries.
コンピューティングの力が向上し、新しい暗号分析が出現するにつれて、現在の暗号化アルゴリズムは通常、時間とともに弱くなります。DNSSECコミュニティでは、2つの新しい署名アルゴリズムが採用されています:楕円曲線デジタル署名アルゴリズム(ECDSA)[RFC6605]とEdwards-Curve Digital Signature Algorithm(EDDSA)[RFC8080]。ECDSAとEDDSAは、近年、非常に人気のあるアルゴリズムに署名されています。GOST署名アルゴリズム[GOST-SIGN]も採用されましたが、非常に少数の国に固有の国家アルゴリズムであるため、非常に限られた使用が見られました。
Implementation developers who want to know which algorithms to implement in DNSSEC software should refer to [RFC8624]. Note that this specification is only about what algorithms should and should not be included in implementations, i.e., it is not advice about which algorithms zone operators should or should not use for signing, nor which algorithms recursive resolver operators should or should not use for validation.
DNSSECソフトウェアで実装するアルゴリズムを知りたい実装開発者[RFC8624]を参照する必要があります。この仕様は、アルゴリズムが実装に含まれるべきかどうかについてのみであることに注意してください。つまり、どのアルゴリズムゾーンオペレーターが署名に使用すべきか、または使用すべきではないか、または検証に使用すべきアルゴリズムの再帰的なリゾルバーオペレーターについてのアドバイスではないことに注意してください。。
The DNSSEC community has extended the DNSSEC core and the cryptographic algorithms, both in terms of describing good operational practices and in new protocols. Some of the RFCs that describe these extensions include the following:
DNSSECコミュニティは、優れた運用慣行を説明することと新しいプロトコルの両方で、DNSSECコアと暗号化アルゴリズムを拡張しました。これらの拡張機能を説明するRFCの一部には、以下が含まれます。
* [RFC5011] describes a method to help resolvers update their DNSSEC trust anchors in an automated fashion. This method was used in 2018 to update the DNS root trust anchor.
* [RFC5011]は、リソースバーがDNSSECトラストアンカーを自動化された方法で更新するのに役立つ方法を説明しています。この方法は、DNSルートトラストアンカーを更新するために2018年に使用されました。
* [RFC6781] is a compendium of operational practices that may not be obvious from reading just the core specifications.
* [RFC6781]は、コア仕様のみを読むことから明らかではない運用慣行の大要です。
* [RFC7344] describes using the CDS and CDNSKEY resource records to help automate the maintenance of DS records in the parents of signed zones.
* [RFC7344]は、CDSおよびCDNSKEYリソースレコードを使用して、署名ゾーンの親のDSレコードのメンテナンスを自動化するのに役立つことを説明しています。
* [RFC8078] extends [RFC7344] by showing how to do initial setup of trusted relationships between signed parent and child zones.
* [RFC8078]は、署名された親と子のゾーン間の信頼関係の初期セットアップを行う方法を示すことにより、[RFC7344]を拡張します。
* [RFC8198] describes how a validating resolver can emit fewer queries in signed zones that use NSEC and NSEC3 for negative caching.
* [RFC8198]は、検証済みのリゾルバーが、ネガティブキャッシングにNSECとNSEC3を使用する署名ゾーンのクエリをより少ないクエリをどのように放出できるかを説明しています。
* [RFC9077] updates [RFC8198] with respect to the TTL fields in signed records.
* [RFC9077]署名されたレコードのTTLフィールドに関して[RFC8198]を更新します。
The documents listed above constitute the core of DNSSEC, the additional cryptographic algorithms, and the major extensions to DNSSEC. This section lists some additional documents that someone interested in implementing or operating DNSSEC might find of value:
上記のドキュメントは、DNSSECのコア、追加の暗号化アルゴリズム、およびDNSSECの主要な拡張を構成します。このセクションには、DNSSECの実装または操作に興味がある人が価値のあるものを見つける可能性のあるいくつかの追加のドキュメントをリストします。
* [RFC4470] "describes how to construct DNSSEC NSEC resource records that cover a smaller range of names than called for by [RFC4034]. By generating and signing these records on demand, authoritative name servers can effectively stop the disclosure of zone contents otherwise made possible by walking the chain of NSEC records in a signed zone".
* [RFC4470] "[RFC4034]で求められているよりも小さな範囲の名前をカバーするDNSSEC NSEC NSECリソースレコードを構築する方法を説明しています。署名ゾーンでNSECレコードのチェーンを歩くことによって」。
* [RFC6975] "specifies a way for validating end-system resolvers to signal to a server which digital signature and hash algorithms they support".
* [RFC6975]「サポートするデジタル署名とハッシュアルゴリズムがサーバーに信号を送るために、エンドシステムリゾルバーを検証する方法を指定します」。
* [RFC7129] "provides additional background commentary and some context for the NSEC and NSEC3 mechanisms used by DNSSEC to provide authenticated denial-of-existence responses". This background is particularly important for understanding NSEC and NSEC3 usage.
* [RFC7129]「DNSSECが使用するNSECおよびNSEC3メカニズムの追加の背景解説といくつかのコンテキストを提供して、認証された存在拒否応答を提供します」。この背景は、NSECおよびNSEC3の使用を理解するために特に重要です。
* [RFC7583] "describes the issues surrounding the timing of events in the rolling of a key in a DNSSEC-secured zone".
* [RFC7583]「DNSSECが配置されたゾーンのキーのローリングにおけるイベントのタイミングを取り巻く問題を説明しています」。
* [RFC7646] "defines Negative Trust Anchors (NTAs), which can be used to mitigate DNSSEC validation failures by disabling DNSSEC validation at specified domains".
* [RFC7646]「ネガティブトラストアンカー(NTA)を定義します。これは、指定されたドメインでDNSSEC検証を無効にすることにより、DNSSEC検証障害を軽減するために使用できます」。
* [RFC7958] "describes the format and publication mechanisms IANA has used to distribute the DNSSEC trust anchors".
* [RFC7958]「IANAがDNSSEC Trustアンカーの配布に使用した形式と出版メカニズムについて説明しています」。
* [RFC8027] "describes problems that a Validating DNS resolver, stub-resolver, or application might run into within a non-compliant infrastructure".
* [RFC8027]「検証済みのDNSリゾルバー、スタブリゾルバー、またはアプリケーションが非準拠インフラストラクチャ内で遭遇する可能性があるという問題を説明しています」。
* [RFC8145] "specifies two different ways for validating resolvers to signal to a server which keys are referenced in their chain of trust".
* [RFC8145]「信頼のチェーンでキーが参照されるキーがサーバーに信号を送るためにリゾルバーを検証するための2つの異なる方法を指定します」。
* [RFC8499] contains lists of terminology used when talking about DNS; Sections 10 and 11 cover DNSSEC.
* [RFC8499]には、DNSについて話すときに使用される用語のリストが含まれています。セクション10および11はDNSSECをカバーしています。
* [RFC8509] "specifies a mechanism that will allow an end user and third parties to determine the trusted key state for the root key of the resolvers that handle that user's DNS queries".
* [RFC8509]「エンドユーザーとサードパーティが、そのユーザーのDNSクエリを処理するリゾルバーのルートキーの信頼できるキー状態を決定できるメカニズムを指定します」。
* [RFC8901] "presents deployment models that accommodate this scenario [when each DNS provider independently signs zone data with their own keys] and describes these key-management requirements".
* [RFC8901]「このシナリオに対応する展開モデル(各DNSプロバイダーが独自のキーでゾーンデータに独立して署名したとき)を提示し、これらのキー管理要件を説明します」。
* [RFC9276] "provides guidance on setting NSEC3 parameters based on recent operational deployment experience".
* [RFC9276]「最近の運用展開の経験に基づいて、NSEC3パラメーターの設定に関するガイダンスを提供します」。
There will certainly be other RFCs related to DNSSEC that are published after this one.
この後に公開されるDNSSECに関連する他のRFCが確かにあります。
IANA already has three registry groups that relate to DNSSEC:
IANAにはすでにDNSSECに関連する3つのレジストリグループがあります。
* DNSSEC algorithm numbers (https://www.iana.org/assignments/dns-sec-alg-numbers)
* DNSSECアルゴリズム番号(https://www.iana.org/assignments/dns-sec-alg-numbers)
* DNSSEC NSEC3 parameters (https://www.iana.org/assignments/dnssec-nsec3-parameters)
* DNSSEC NSEC3パラメーター(https://www.iana.org/assignments/dnsec-nsec3-parameters)
* DNSSEC DS RRtype digest algorithms (https://www.iana.org/assignments/ds-rr-types)
* DNSSEC DS RRTYPE DIGEST ALGORITHMS(https://www.iana.org/assignments/ds-rr-types)
The rules for the DNSSEC algorithm registry were set in the core RFCs and updated by [RFC6014], [RFC6725], and [RFC9157].
DNSSECアルゴリズムレジストリのルールは、コアRFCSに設定され、[RFC6014]、[RFC6725]、および[RFC9157]によって更新されました。
This document does not update or create any registry groups or registries.
このドキュメントでは、レジストリグループまたはレジストリを更新または作成しません。
All of the security considerations from all of the RFCs referenced in this document apply here.
このドキュメントで参照されているすべてのRFCからのすべてのセキュリティ上の考慮事項は、ここに適用されます。
[RFC3110] Eastlake 3rd, D., "RSA/SHA-1 SIGs and RSA KEYs in the
Domain Name System (DNS)", RFC 3110, DOI 10.17487/RFC3110,
May 2001, <https://www.rfc-editor.org/info/rfc3110>.
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S.
Rose, "DNS Security Introduction and Requirements",
RFC 4033, DOI 10.17487/RFC4033, March 2005,
<https://www.rfc-editor.org/info/rfc4033>.
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S.
Rose, "Resource Records for the DNS Security Extensions",
RFC 4034, DOI 10.17487/RFC4034, March 2005,
<https://www.rfc-editor.org/info/rfc4034>.
[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S.
Rose, "Protocol Modifications for the DNS Security
Extensions", RFC 4035, DOI 10.17487/RFC4035, March 2005,
<https://www.rfc-editor.org/info/rfc4035>.
[RFC4509] Hardaker, W., "Use of SHA-256 in DNSSEC Delegation Signer
(DS) Resource Records (RRs)", RFC 4509,
DOI 10.17487/RFC4509, May 2006,
<https://www.rfc-editor.org/info/rfc4509>.
[RFC5155] Laurie, B., Sisson, G., Arends, R., and D. Blacka, "DNS
Security (DNSSEC) Hashed Authenticated Denial of
Existence", RFC 5155, DOI 10.17487/RFC5155, March 2008,
<https://www.rfc-editor.org/info/rfc5155>.
[RFC5702] Jansen, J., "Use of SHA-2 Algorithms with RSA in DNSKEY
and RRSIG Resource Records for DNSSEC", RFC 5702,
DOI 10.17487/RFC5702, October 2009,
<https://www.rfc-editor.org/info/rfc5702>.
[RFC6840] Weiler, S., Ed. and D. Blacka, Ed., "Clarifications and
Implementation Notes for DNS Security (DNSSEC)", RFC 6840,
DOI 10.17487/RFC6840, February 2013,
<https://www.rfc-editor.org/info/rfc6840>.
[GOST-SIGN]
Belyavsky, D., Dolmatov, V., Ed., and B. Makarenko, Ed.,
"Use of GOST 2012 Signature Algorithms in DNSKEY and RRSIG
Resource Records for DNSSEC", Work in Progress, Internet-
Draft, draft-ietf-dnsop-rfc5933-bis-13, 30 November 2022,
<https://datatracker.ietf.org/doc/html/draft-ietf-dnsop-
rfc5933-bis-13>.
[RFC2065] Eastlake 3rd, D. and C. Kaufman, "Domain Name System
Security Extensions", RFC 2065, DOI 10.17487/RFC2065,
January 1997, <https://www.rfc-editor.org/info/rfc2065>.
[RFC2535] Eastlake 3rd, D., "Domain Name System Security
Extensions", RFC 2535, DOI 10.17487/RFC2535, March 1999,
<https://www.rfc-editor.org/info/rfc2535>.
[RFC2536] Eastlake 3rd, D., "DSA KEYs and SIGs in the Domain Name
System (DNS)", RFC 2536, DOI 10.17487/RFC2536, March 1999,
<https://www.rfc-editor.org/info/rfc2536>.
[RFC4470] Weiler, S. and J. Ihren, "Minimally Covering NSEC Records
and DNSSEC On-line Signing", RFC 4470,
DOI 10.17487/RFC4470, April 2006,
<https://www.rfc-editor.org/info/rfc4470>.
[RFC5011] StJohns, M., "Automated Updates of DNS Security (DNSSEC)
Trust Anchors", STD 74, RFC 5011, DOI 10.17487/RFC5011,
September 2007, <https://www.rfc-editor.org/info/rfc5011>.
[RFC6014] Hoffman, P., "Cryptographic Algorithm Identifier
Allocation for DNSSEC", RFC 6014, DOI 10.17487/RFC6014,
November 2010, <https://www.rfc-editor.org/info/rfc6014>.
[RFC6605] Hoffman, P. and W.C.A. Wijngaards, "Elliptic Curve Digital
Signature Algorithm (DSA) for DNSSEC", RFC 6605,
DOI 10.17487/RFC6605, April 2012,
<https://www.rfc-editor.org/info/rfc6605>.
[RFC6698] Hoffman, P. and J. Schlyter, "The DNS-Based Authentication
of Named Entities (DANE) Transport Layer Security (TLS)
Protocol: TLSA", RFC 6698, DOI 10.17487/RFC6698, August
2012, <https://www.rfc-editor.org/info/rfc6698>.
[RFC6725] Rose, S., "DNS Security (DNSSEC) DNSKEY Algorithm IANA
Registry Updates", RFC 6725, DOI 10.17487/RFC6725, August
2012, <https://www.rfc-editor.org/info/rfc6725>.
[RFC6781] Kolkman, O., Mekking, W., and R. Gieben, "DNSSEC
Operational Practices, Version 2", RFC 6781,
DOI 10.17487/RFC6781, December 2012,
<https://www.rfc-editor.org/info/rfc6781>.
[RFC6975] Crocker, S. and S. Rose, "Signaling Cryptographic
Algorithm Understanding in DNS Security Extensions
(DNSSEC)", RFC 6975, DOI 10.17487/RFC6975, July 2013,
<https://www.rfc-editor.org/info/rfc6975>.
[RFC7129] Gieben, R. and W. Mekking, "Authenticated Denial of
Existence in the DNS", RFC 7129, DOI 10.17487/RFC7129,
February 2014, <https://www.rfc-editor.org/info/rfc7129>.
[RFC7344] Kumari, W., Gudmundsson, O., and G. Barwood, "Automating
DNSSEC Delegation Trust Maintenance", RFC 7344,
DOI 10.17487/RFC7344, September 2014,
<https://www.rfc-editor.org/info/rfc7344>.
[RFC7583] Morris, S., Ihren, J., Dickinson, J., and W. Mekking,
"DNSSEC Key Rollover Timing Considerations", RFC 7583,
DOI 10.17487/RFC7583, October 2015,
<https://www.rfc-editor.org/info/rfc7583>.
[RFC7646] Ebersman, P., Kumari, W., Griffiths, C., Livingood, J.,
and R. Weber, "Definition and Use of DNSSEC Negative Trust
Anchors", RFC 7646, DOI 10.17487/RFC7646, September 2015,
<https://www.rfc-editor.org/info/rfc7646>.
[RFC7958] Abley, J., Schlyter, J., Bailey, G., and P. Hoffman,
"DNSSEC Trust Anchor Publication for the Root Zone",
RFC 7958, DOI 10.17487/RFC7958, August 2016,
<https://www.rfc-editor.org/info/rfc7958>.
[RFC8027] Hardaker, W., Gudmundsson, O., and S. Krishnaswamy,
"DNSSEC Roadblock Avoidance", BCP 207, RFC 8027,
DOI 10.17487/RFC8027, November 2016,
<https://www.rfc-editor.org/info/rfc8027>.
[RFC8078] Gudmundsson, O. and P. Wouters, "Managing DS Records from
the Parent via CDS/CDNSKEY", RFC 8078,
DOI 10.17487/RFC8078, March 2017,
<https://www.rfc-editor.org/info/rfc8078>.
[RFC8080] Sury, O. and R. Edmonds, "Edwards-Curve Digital Security
Algorithm (EdDSA) for DNSSEC", RFC 8080,
DOI 10.17487/RFC8080, February 2017,
<https://www.rfc-editor.org/info/rfc8080>.
[RFC8145] Wessels, D., Kumari, W., and P. Hoffman, "Signaling Trust
Anchor Knowledge in DNS Security Extensions (DNSSEC)",
RFC 8145, DOI 10.17487/RFC8145, April 2017,
<https://www.rfc-editor.org/info/rfc8145>.
[RFC8198] Fujiwara, K., Kato, A., and W. Kumari, "Aggressive Use of
DNSSEC-Validated Cache", RFC 8198, DOI 10.17487/RFC8198,
July 2017, <https://www.rfc-editor.org/info/rfc8198>.
[RFC8499] Hoffman, P., Sullivan, A., and K. Fujiwara, "DNS
Terminology", BCP 219, RFC 8499, DOI 10.17487/RFC8499,
January 2019, <https://www.rfc-editor.org/info/rfc8499>.
[RFC8509] Huston, G., Damas, J., and W. Kumari, "A Root Key Trust
Anchor Sentinel for DNSSEC", RFC 8509,
DOI 10.17487/RFC8509, December 2018,
<https://www.rfc-editor.org/info/rfc8509>.
[RFC8624] Wouters, P. and O. Sury, "Algorithm Implementation
Requirements and Usage Guidance for DNSSEC", RFC 8624,
DOI 10.17487/RFC8624, June 2019,
<https://www.rfc-editor.org/info/rfc8624>.
[RFC8901] Huque, S., Aras, P., Dickinson, J., Vcelak, J., and D.
Blacka, "Multi-Signer DNSSEC Models", RFC 8901,
DOI 10.17487/RFC8901, September 2020,
<https://www.rfc-editor.org/info/rfc8901>.
[RFC9077] van Dijk, P., "NSEC and NSEC3: TTLs and Aggressive Use",
RFC 9077, DOI 10.17487/RFC9077, July 2021,
<https://www.rfc-editor.org/info/rfc9077>.
[RFC9157] Hoffman, P., "Revised IANA Considerations for DNSSEC",
RFC 9157, DOI 10.17487/RFC9157, December 2021,
<https://www.rfc-editor.org/info/rfc9157>.
[RFC9276] Hardaker, W. and V. Dukhovni, "Guidance for NSEC3
Parameter Settings", BCP 236, RFC 9276,
DOI 10.17487/RFC9276, August 2022,
<https://www.rfc-editor.org/info/rfc9276>.
The DNS world owes a depth of gratitude to the authors and other contributors to the core DNSSEC documents and to the notable DNSSEC extensions.
DNSの世界は、著者やその他のDNSSECドキュメントと著名なDNSSECエクステンションに著者やその他の貢献者に感謝の深さを負っています。
In addition, the following people made significant contributions to early draft versions of this document: Ben Schwartz and Duane Wessels.
さらに、次の人々は、このドキュメントの初期ドラフトバージョンに多大な貢献をしました:ベン・シュワルツとデュアン・ウェッセルズ。
Paul Hoffman
ICANN
Email: paul.hoffman@icann.org