[要約] RFC 9461 は、DNSサーバーに対するSVCBマッピングを提供し、暗号化された転送プロトコルのサポートを示すことを目的としています。
Internet Engineering Task Force (IETF) B. Schwartz Request for Comments: 9461 Meta Platforms, Inc. Category: Standards Track November 2023 ISSN: 2070-1721
The SVCB DNS resource record type expresses a bound collection of endpoint metadata, for use when establishing a connection to a named service. DNS itself can be such a service, when the server is identified by a domain name. This document provides the SVCB mapping for named DNS servers, allowing them to indicate support for encrypted transport protocols.
SVCB DNSリソースレコードタイプは、名前付きサービスへの接続を確立するときに使用するために、エンドポイントメタデータのバインドコレクションを表します。DNS自体は、サーバーがドメイン名で識別される場合、そのようなサービスになる可能性があります。このドキュメントは、名前付きDNSサーバーのSVCBマッピングを提供し、暗号化された輸送プロトコルのサポートを示すことができます。
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9461.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9461で取得できます。
Copyright (c) 2023 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2023 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction 2. Conventions and Definitions 3. Identities and Names 3.1. Special Case: Non-default Ports 4. Applicable Existing SvcParamKeys 4.1. "alpn" 4.2. "port" 4.3. Other Applicable SvcParamKeys 5. New SvcParamKey: "dohpath" 6. Limitations 7. Examples 8. Security Considerations 8.1. Adversary on the Query Path 8.1.1. Downgrade Attacks 8.1.2. Redirection Attacks 8.2. Adversary on the Transport Path 9. IANA Considerations 10. References 10.1. Normative References 10.2. Informative References Appendix A. Mapping Summary Acknowledgments Author's Address
The SVCB resource record (RR) type [SVCB] provides clients with information about how to reach alternative endpoints for a service. These endpoints may offer improved performance or privacy properties. The service is identified by a "scheme" indicating the service type, a hostname, and, optionally, other information such as a port number. A DNS server is often identified only by its IP address (e.g., in DHCP), but in some contexts it can also be identified by a hostname (e.g., "NS" records, manual resolver configuration) and sometimes also a non-default port number.
SVCBリソースレコード(RR)タイプ[SVCB]は、サービスの代替エンドポイントに到達する方法に関する情報をクライアントに提供します。これらのエンドポイントは、パフォーマンスまたはプライバシーの改善されたプロパティを提供する場合があります。このサービスは、サービスタイプ、ホスト名、およびオプションでポート番号などのその他の情報を示す「スキーム」によって識別されます。DNSサーバーは、多くの場合、IPアドレス(DHCPなど)によってのみ識別されますが、一部のコンテキストではホスト名(「NS」レコード、手動リゾルバー構成など)で識別することもできます。番号。
The use of the SVCB RR type requires a mapping document for each service type (Section 2.4.3 of [SVCB]), indicating how a client for that service can interpret the contents of the SVCB SvcParams. This document provides the mapping for the "dns" service type, allowing DNS servers to offer alternative endpoints and transports, including encrypted transports like DNS over TLS (DoT) [RFC7858], DNS over HTTPS (DoH) [RFC8484], and DNS over QUIC (DoQ) [RFC9250].
SVCB RRタイプの使用には、各サービスタイプ([SVCB]のセクション2.4.3)のマッピングドキュメントが必要であり、そのサービスのクライアントがSVCB SVCParamsの内容をどのように解釈できるかを示します。このドキュメントでは、「DNS」サービスタイプのマッピングを提供し、DNSサーバーがTLS(DOT)[RFC7858]のような暗号化されたトランスポート、HTTPS(DOH)(DOH)[RFC8484]のDNSなどの暗号化されたトランスポートを含む代替エンドポイントとトランスポートを提供できるようにします。quic(doq)[rfc9250]。
The SVCB mapping described in this document is intended as a general-purpose baseline. Subsequent specifications will adapt this mechanism as needed to support specific configurations (e.g., for communication between stub resolvers and recursive resolvers).
このドキュメントで説明されているSVCBマッピングは、汎用ベースラインとして意図されています。後続の仕様は、特定の構成をサポートするために必要に応じてこのメカニズムを適合させます(例:スタブリゾルバーと再帰リゾルバー間の通信)。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。
SVCB record names (i.e., QNAMEs) for DNS services are formed using Port Prefix Naming (Section 2.3 of [SVCB]), with a scheme of "dns". For example, SVCB records for a DNS service identified as dns1.example.com would be queried at _dns.dns1.example.com.
DNSサービスのSVCBレコード名(つまり、QNAME)は、「DNS」のスキームを使用して、ポートプレフィックスネーミング([SVCB]のセクション2.3)を使用して形成されます。たとえば、DNS1.example.comとして識別されたDNSサービスのSVCBレコードは、_DNS.DNS1.example.comに照会されます。
In some use cases, the name used for retrieving these DNS records is different from the server identity used to authenticate the secure transport. To distinguish between these, this document uses the following terms:
一部のユースケースでは、これらのDNSレコードの取得に使用される名前は、安全なトランスポートを認証するために使用されるサーバーIDとは異なります。これらを区別するために、このドキュメントは次の用語を使用します。
Binding authority:
拘束力のある権限:
The service name (Section 1.3 of [SVCB]) and optional port number used as input to Port Prefix Naming.
サービス名([SVCB]のセクション1.3)およびポートプレフィックスネーミングへの入力として使用されるオプションのポート番号。
Authentication name:
認証名:
The name used for secure transport authentication. This MUST be a DNS hostname or a literal IP address. Unless otherwise specified, this is the service name from the binding authority.
安全な輸送認証に使用される名前。これは、DNSホスト名またはリテラルIPアドレスである必要があります。特に指定されていない限り、これは拘束力のある機関からのサービス名です。
Normally, a DNS service is identified by an IP address or a domain name. When connecting to the service using unencrypted DNS over UDP or TCP, clients use the default port number for DNS (53). However, in rare cases, a DNS service might be identified by both a name and a port number. For example, the DNS URI scheme [DNSURI] optionally includes an authority, comprised of a host and a port number (with a default of 53). DNS URIs normally omit the authority or specify an IP address, but a hostname and non-default port number are allowed.
通常、DNSサービスはIPアドレスまたはドメイン名によって識別されます。UDPまたはTCPを介して暗号化されていないDNSを使用してサービスに接続する場合、クライアントはDNSに対してデフォルトのポート番号を使用します(53)。ただし、まれに、DNSサービスは、名前とポート番号の両方によって識別される場合があります。たとえば、DNS URIスキーム[DNSURI]には、オプションで、ホストとポート番号(デフォルトの53)で構成される権限が含まれています。DNS URISは通常、当局を省略するか、IPアドレスを指定しますが、ホスト名と非デフォルトポート番号は許可されています。
When the binding authority specifies a non-default port number, Port Prefix Naming places the port number in an additional prefix on the name. For example, if the binding authority is "dns1.example.com:9953", the client would query for SVCB records at _9953._dns.dns1.example.com. If two DNS services operating on different port numbers provide different behaviors, this arrangement allows them to preserve the distinction when specifying alternative endpoints.
拘束力のある機関が非デフォルトポート番号を指定すると、ポートプレフィックスの名前を付けて、ポート番号を名前の追加のプレフィックスに配置します。たとえば、拘束力のある機関が「DNS1.example.com:9953」の場合、クライアントは_9953._dns.dns1.example.comでSVCBレコードを照会します。異なるポート番号で動作する2つのDNSサービスが異なる動作を提供する場合、この配置により、代替エンドポイントを指定するときに区別を保持できます。
This key indicates the set of supported protocols (Section 7.1 of [SVCB]). There is no default protocol, so the "no-default-alpn" key does not apply. If the "alpn" SvcParamKey is absent, the client MUST treat the SVCB record as "incompatible" (as defined in Section 8 of [SVCB]) unless some other recognized SvcParam indicates a supported protocol.
このキーは、サポートされているプロトコルのセットを示しています([SVCB]のセクション7.1)。デフォルトのプロトコルはないため、「Do-Default-Alpn」キーは適用されません。「ALPN」SVCParamkeyが存在しない場合、クライアントはSVCBレコードを「互換性のない」([SVCB]のセクション8で定義)として扱う必要があります。
If the protocol set contains any HTTP versions (e.g., "h2", "h3"), then the record indicates support for DoH and the "dohpath" key MUST be present (Section 5). All keys specified for use with the HTTPS record are also permissible and apply to the resulting HTTP connection.
プロトコルセットにHTTPバージョン(「H2」、「H3」など)が含まれている場合、レコードはDOHのサポートを示し、「Dohpath」キーが存在する必要があります(セクション5)。HTTPSレコードで使用するために指定されたすべてのキーも許容され、結果のHTTP接続に適用されます。
If the protocol set contains protocols with different default ports and no "port" key is specified, then protocols are contacted separately on their default ports. Note that in this configuration, Application-Layer Protocol Negotiation (ALPN) negotiation does not defend against cross-protocol downgrade attacks.
プロトコルセットに異なるデフォルトポートを持つプロトコルが含まれており、「ポート」キーが指定されていない場合、プロトコルはデフォルトのポートで個別に連絡されます。この構成では、アプリケーション層プロトコルネゴシエーション(ALPN)の交渉は、プロトコルの格下げ攻撃から擁護しないことに注意してください。
This key is used to indicate the target port for connection (Section 7.2 of [SVCB]). If omitted, the client SHALL use the default port number for each transport protocol (853 for DoT and DoQ, 443 for DoH).
このキーは、接続のターゲットポートを示すために使用されます([SVCB]のセクション7.2)。省略した場合、クライアントは各トランスポートプロトコルにデフォルトのポート番号(DOTおよびDOQで853、DOHの443)を使用するものとします。
This key is automatically mandatory for this binding. This means that a client that does not respect the "port" key MUST ignore any SVCB record that contains this key. (See Section 8 of [SVCB] for the definition of "automatically mandatory".)
このキーは、このバインディングに対して自動的に必須です。これは、「ポート」キーを尊重しないクライアントが、このキーを含むSVCBレコードを無視する必要があることを意味します。([自動的に必須]の定義については、[SVCB]のセクション8を参照してください。)
Support for the "port" key can be unsafe if the client has implicit elevated access to some network service (e.g., a local service that is inaccessible to remote parties) and that service uses a TCP-based protocol other than TLS. A hostile DNS server might be able to manipulate this service by causing the client to send a specially crafted TLS Server Name Indication (SNI) or session ticket that can be misparsed as a command or exploit. To avoid such attacks, clients SHOULD NOT support the "port" key unless one of the following conditions applies:
「ポート」キーのサポートは、クライアントが何らかのネットワークサービス(例えば、リモートパーティーにアクセスできないローカルサービス)への暗黙のアクセスがあり、そのサービスがTLS以外のTCPベースのプロトコルを使用している場合、安全でない場合があります。敵対的なDNSサーバーは、クライアントに特別に作成されたTLSサーバー名表示(SNI)またはコマンドまたはエクスプロイトとして誤って比較できるセッションチケットを送信することにより、このサービスを操作できる場合があります。このような攻撃を避けるために、クライアントは次の条件のいずれかが適用されない限り、「ポート」キーをサポートすべきではありません。
* The client is being used with a DNS server that it trusts not to attempt this attack.
* クライアントは、この攻撃を試みないことを信頼するDNSサーバーで使用されています。
* The client is being used in a context where implicit elevated access cannot apply.
* クライアントは、暗黙の高さのアクセスが適用できないコンテキストで使用されています。
* The client restricts the set of allowed TCP port values to exclude any ports where a confusion attack is likely to be possible (e.g., the "bad ports" list from Section 2.9 ("Port blocking") of [FETCH]).
* クライアントは、許可されたTCPポート値のセットを制限して、混乱攻撃が可能になる可能性が高いポートを除外します(たとえば、[Fetch]のセクション2.9(「ポートブロッキング」)からの「悪いポート」リスト)。
These SvcParamKeys from [SVCB] apply to the "dns" scheme without modification:
[svcb]のこれらのsvcparamkeysは、変更なしで「DNS」スキームに適用されます。
* mandatory
* 必須必須の
* ipv4hint
* ipv4hint
* ipv6hint
* IPv6hint
Future SvcParamKeys might also be applicable.
将来のSVCParamkeysも適用される可能性があります。
"dohpath" is a single-valued SvcParamKey whose value (in both presentation format and wire format) MUST be a URI Template in relative form ([RFC6570], Section 1.1) encoded in UTF-8 [RFC3629]. If the "alpn" SvcParam indicates support for HTTP, "dohpath" MUST be present. The URI Template MUST contain a "dns" variable, and MUST be chosen such that the result after DoH URI Template expansion (Section 6 of [RFC8484]) is always a valid and functional ":path" value ([RFC9113], Section 8.3.1).
「Dohpath」は、UTF-8 [RFC3629]にエンコードされた相対形式([RFC6570]、セクション1.1)の値(プレゼンテーション形式とワイヤー形式の両方)でなければならない単一値のSVCParamkeyでなければなりません。「ALPN」SVCPARAMがHTTPのサポートを示している場合、「Dohpath」が存在する必要があります。URIテンプレートには「DNS」変数が含まれている必要があり、DOH URIテンプレート拡張後の結果([RFC8484]のセクション6)が常に有効かつ機能的であるように選択する必要があります。.1)。
When using this SVCB record, the client MUST send any DoH requests to the HTTP origin identified by the "https" scheme, the authentication name, and the port from the "port" SvcParam (if present). HTTP requests MUST be directed to the resource resulting from DoH URI Template expansion of the "dohpath" value.
このSVCBレコードを使用する場合、クライアントは「HTTPS」スキーム、認証名、および「ポート」SVCPARAM(存在する場合)からのポートによって識別されたHTTPオリジンにDOH要求を送信する必要があります。HTTPリクエストは、「Dohpath」値のDOH URIテンプレート拡張に起因するリソースに送信する必要があります。
Clients SHOULD NOT query for any HTTPS RRs when using "dohpath". Instead, the SvcParams and address records associated with this SVCB record SHOULD be used for the HTTPS connection, with the same semantics as an HTTPS RR. However, for consistency, service operators SHOULD publish an equivalent HTTPS RR, especially if clients might learn about this DoH service through a different channel.
「Dohpath」を使用する場合、クライアントはHTTPS RRSをクエリしないでください。代わりに、このSVCBレコードに関連付けられたSVCPARAMSおよびアドレスレコードは、HTTPS RRと同じセマンティクスを持つHTTPS接続に使用する必要があります。ただし、一貫性のために、サービスオペレーターは、特にクライアントが別のチャネルを介してこのDOHサービスについて学習できる場合、同等のHTTPS RRを公開する必要があります。
This document is concerned exclusively with the DNS transport and does not affect or inform the construction or interpretation of DNS messages. For example, nothing in this document indicates whether the service is intended for use as a recursive or authoritative DNS server. Clients need to know the intended use of services based on their context.
このドキュメントは、DNS輸送のみに関係しており、DNSメッセージの構築または解釈に影響を与えたり、通知したりしません。たとえば、このドキュメントの何も、サービスが再帰的または権威あるDNSサーバーとして使用することを意図しているかどうかを示していません。クライアントは、コンテキストに基づいてサービスの使用を意図した使用を知る必要があります。
Not all features of this specification will be applicable or effective in all contexts:
この仕様のすべての機能がすべてのコンテキストで適用または効果的であるわけではありません。
* If the authentication name is received over an insecure channel (e.g., a glue NS record), this specification cannot prevent the client from connecting to an attacker.
* 認証名が不安定なチャネル(接着剤NSレコードなど)で受信された場合、この仕様ではクライアントが攻撃者に接続するのを防ぐことはできません。
* Different transports might prove to be popular for different purposes (e.g., querying a recursive resolver vs. an authoritative server). Implementors are not obligated to implement all the defined transports, although doing so is beneficial for compatibility.
* さまざまなトランスポートが、さまざまな目的で人気があることが証明される場合があります(たとえば、再帰的なリゾルバーと権威あるサーバーを照会する)。実装者は、定義されたすべての輸送を実装する義務はありませんが、そうすることは互換性に有益です。
* Where resolution speed is a high priority, the SVCB TargetName SHOULD follow the convention described in Section 10.2 of [SVCB], and the use of AliasMode records (Section 2.4.2 of [SVCB]) is NOT RECOMMENDED.
* 解像度の速度が優先度が高い場合、SVCBターゲット名は[SVCB]のセクション10.2で説明されている条約に従う必要があり、AliASMODEレコード([SVCB]のセクション2.4.2)の使用は推奨されません。
* A resolver known as simple.example that supports DNS over TLS on port 853 (implicitly, as this is its default port):
* PORT 853のTLSを超えるDNSをサポートするSimple.exampleとして知られるリゾルバー(暗黙的に、これがデフォルトポートであるため):
_dns.simple.example. 7200 IN SVCB 1 simple.example. alpn=dot
* A DoH-only resolver at https://doh.example/dns-query{?dns}. (DNS over TLS is not supported.):
* https://doh.example/dns-query {?dns}のDOHのみのリゾルバー。(TLSを超えるDNSはサポートされていません。):
_dns.doh.example. 7200 IN SVCB 1 doh.example. ( alpn=h2 dohpath=/dns-query{?dns} )
* A resolver known as resolver.example that supports:
* Resolver.exampleとして知られるリゾルバー:サポート:
- DoT on resolver.example ports 853 (implicit in record 1) and 8530 (explicit in record 2), with "resolver.example" as the Authentication Domain Name,
- Resolver.example Ports 853(レコード1で暗黙的)および8530(レコード2で明示)、「Resolver.example」が認証ドメイン名として、
- DoQ on resolver.example port 853 (record 1),
- Resolver.exampleポート853(レコード1)のDOQ、
- DoH at https://resolver.example/q{?dns} (record 1), and
- https://resolver.example/q {?dns}(レコード1)のdoh
- an experimental protocol on fooexp.resolver.example:5353 (record 3):
- fooexp.resolver.exampleの実験プロトコル:5353(レコード3):
_dns.resolver.example. 7200 IN \ SVCB 1 resolver.example. alpn=dot,doq,h2,h3 dohpath=/q{?dns} SVCB 2 resolver.example. alpn=dot port=8530 SVCB 3 fooexp.resolver.example. \ port=5353 alpn=foo foo-info=...
* A name server named ns.example. whose service configuration is published on a different domain:
* ns.exampleという名前の名前サーバー。そのサービス構成は、別のドメインで公開されています。
_dns.ns.example. 7200 IN SVCB 0 _dns.ns.nic.example.
This section considers an adversary who can add or remove responses to the SVCB query.
このセクションでは、SVCBクエリに応答を追加または削除できる敵を検討します。
During secure transport establishment, clients MUST authenticate the server to its authentication name, which is not influenced by the SVCB record contents. Accordingly, this document does not mandate the use of DNSSEC. This document also does not specify how clients authenticate the name (e.g., selection of roots of trust), as this procedure might vary according to the context.
安全な輸送設立中、クライアントはSVCBレコードの内容の影響を受けない認証名にサーバーを認証する必要があります。したがって、このドキュメントはDNSSECの使用を義務付けていません。また、このドキュメントでは、クライアントがコンテキストによって異なる場合があるため、クライアントが名前を認証する方法(たとえば、信頼のルーツの選択)を指定するものではありません。
This attacker cannot impersonate the secure endpoint, but it can forge a response indicating that the requested SVCB records do not exist. For a SVCB-reliant client ([SVCB], Section 3), this only results in a denial of service. However, SVCB-optional clients will generally fall back to insecure DNS in this case, exposing all DNS traffic to attacks.
この攻撃者は安全なエンドポイントになりすましませんが、要求されたSVCBレコードが存在しないことを示す応答を偽造できます。SVCBに依存しているクライアント([SVCB]、セクション3)の場合、これはサービスの拒否のみになります。ただし、SVCBオプションのクライアントは、一般に、この場合、すべてのDNSトラフィックを攻撃にさらしているため、不安定なDNSに戻ります。
SVCB-reliant clients always enforce the Authentication Domain Name, but they are still subject to attacks using the transport, port number, and "dohpath" value, which are controlled by this adversary. By changing these values in the SVCB answers, the adversary can direct DNS queries for $HOSTNAME to any port on $HOSTNAME and any path on "https://$HOSTNAME". If the DNS client uses shared TLS or HTTP state, the client could be correctly authenticated (e.g., using a TLS client certificate or HTTP cookie).
SVCB依存のクライアントは常に認証ドメイン名を実施していますが、この敵によって制御されるトランスポート、ポート番号、および「Dohpath」値を使用した攻撃の対象となります。SVCBの回答でこれらの値を変更することにより、敵は$ hostnameの任意のポートに$ hostnameのDNSクエリを$ HOSTNAMEおよび「https:// $ hostname」のパスに向けることができます。DNSクライアントが共有TLSまたはHTTP状態を使用している場合、クライアントは正しく認証される可能性があります(たとえば、TLSクライアント証明書またはHTTP Cookieを使用)。
This behavior creates a number of possible attacks for certain server configurations. For example, if https://$HOSTNAME/upload accepts any POST request as a public file upload, the adversary could forge a SVCB record containing dohpath=/upload{?dns}. This would cause the client to upload and publish every query, resulting in unexpected storage costs for the server and privacy loss for the client. Similarly, if two DoH endpoints are available on the same origin and the service has designated one of them for use with this specification, this adversary can cause clients to use the other endpoint instead.
この動作は、特定のサーバー構成に対して多くの可能な攻撃を作成します。たとえば、https:// $ hostname/uploadが公開ファイルのアップロードとしてPOSTリクエストを受け入れると、敵はdohpath =/upload {?dns}を含むSVCBレコードを偽造できます。これにより、クライアントはすべてのクエリをアップロードおよび公開し、サーバーの予期しないストレージコストとクライアントのプライバシー損失になります。同様に、2つのDOHエンドポイントが同じ起源で利用可能であり、サービスの1つをこの仕様で使用するために指定した場合、この敵は代わりにクライアントに他のエンドポイントを使用する可能性があります。
To mitigate redirection attacks, a client of this SVCB mapping MUST NOT identify or authenticate itself when performing DNS queries, except to servers that it specifically knows are not vulnerable to such attacks. If an endpoint sends an invalid response to a DNS query, the client SHOULD NOT send more queries to that endpoint and MAY log this error. Multiple DNS services MUST NOT share a hostname identifier (Section 3) unless they are so similar that it is safe to allow an attacker to choose which one is used.
リダイレクト攻撃を緩和するために、このSVCBマッピングのクライアントは、DNSクエリを実行するときに自分自身を識別または認証してはなりません。エンドポイントがDNSクエリに無効な応答を送信した場合、クライアントはそのエンドポイントにさらにクエリを送信してはならず、このエラーを記録する場合があります。複数のDNSサービスが非常に類似していない限り、ホスト名識別子(セクション3)を共有してはなりません。
This section considers an adversary who can modify network traffic between the client and the alternative service (identified by the TargetName).
このセクションでは、クライアントと代替サービスの間のネットワークトラフィックを変更できる敵を検討します(TargetNameによって識別)。
For a SVCB-reliant client, this adversary can only cause a denial of service. However, because DNS is unencrypted by default, this adversary can execute a downgrade attack against SVCB-optional clients. Accordingly, when the use of this specification is optional, clients SHOULD switch to SVCB-reliant behavior if SVCB resolution succeeds. Specifications making use of this mapping MAY adjust this fallback behavior to suit their requirements.
SVCBに依存しているクライアントの場合、この敵はサービスの拒否を引き起こすだけです。ただし、DNSはデフォルトで暗号化されていないため、この敵はSVCBオプションクライアントに対するダウングレード攻撃を実行できます。したがって、この仕様の使用がオプションである場合、SVCB解像度が成功した場合、クライアントはSVCB依存の動作に切り替える必要があります。このマッピングを使用する仕様は、要件に合わせてこのフォールバック動作を調整する場合があります。
Per [SVCB], IANA has added the following entry to the "Service Parameter Keys (SvcParamKeys)" registry.
[SVCB]ごとに、IANAは「Service Parameter Keys(SVCParamkeys)」レジストリに次のエントリを追加しました。
+======+=======+================+=========+============+===========+ |Number|Name | Meaning |Format | Change | Reference | | | | |Reference| Controller | | +======+=======+================+=========+============+===========+ | 7 |dohpath| DNS-over-HTTPS |RFC 9461 | IETF | RFC 9461 | | | | path template | | | | +------+-------+----------------+---------+------------+-----------+ Table 1
Per [Attrleaf], IANA has added the following entry to the DNS "Underscored and Globally Scoped DNS Node Names" registry:
[attrleaf]ごとに、Ianaは次のエントリをDNSに追加しました。
+=========+============+===========+ | RR Type | _NODE NAME | Reference | +=========+============+===========+ | SVCB | _dns | RFC 9461 | +---------+------------+-----------+ Table 2
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, DOI 10.17487/RFC3629, November 2003, <https://www.rfc-editor.org/info/rfc3629>.
[RFC6570] Gregorio, J., Fielding, R., Hadley, M., Nottingham, M., and D. Orchard, "URI Template", RFC 6570, DOI 10.17487/RFC6570, March 2012, <https://www.rfc-editor.org/info/rfc6570>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8484] Hoffman, P. and P. McManus, "DNS Queries over HTTPS (DoH)", RFC 8484, DOI 10.17487/RFC8484, October 2018, <https://www.rfc-editor.org/info/rfc8484>.
[RFC9113] Thomson, M., Ed. and C. Benfield, Ed., "HTTP/2", RFC 9113, DOI 10.17487/RFC9113, June 2022, <https://www.rfc-editor.org/info/rfc9113>.
[SVCB] Schwartz, B., Bishop, M., and E. Nygren, "Service Binding and Parameter Specification via the DNS (SVCB and HTTPS Resource Records)", RFC 9460, DOI 10.17487/RFC9460, November 2023, <https://www.rfc-editor.org/info/rfc9460>.
[Attrleaf] Crocker, D., "Scoped Interpretation of DNS Resource Records through "Underscored" Naming of Attribute Leaves", BCP 222, RFC 8552, DOI 10.17487/RFC8552, March 2019, <https://www.rfc-editor.org/info/rfc8552>.
[DNSURI] Josefsson, S., "Domain Name System Uniform Resource Identifiers", RFC 4501, DOI 10.17487/RFC4501, May 2006, <https://www.rfc-editor.org/info/rfc4501>.
[FETCH] WHATWG, "Fetch Living Standard", October 2023, <https://fetch.spec.whatwg.org/>.
[RFC7858] Hu, Z., Zhu, L., Heidemann, J., Mankin, A., Wessels, D., and P. Hoffman, "Specification for DNS over Transport Layer Security (TLS)", RFC 7858, DOI 10.17487/RFC7858, May 2016, <https://www.rfc-editor.org/info/rfc7858>.
[RFC9250] Huitema, C., Dickinson, S., and A. Mankin, "DNS over Dedicated QUIC Connections", RFC 9250, DOI 10.17487/RFC9250, May 2022, <https://www.rfc-editor.org/info/rfc9250>.
This table serves as a non-normative summary of the DNS mapping for SVCB.
この表は、SVCBのDNSマッピングの非規範的な要約として機能します。
+-----------------+------------------------------------+ | *Mapped scheme* | "dns" | +-----------------+------------------------------------+ | *RR type* | SVCB (64) | +-----------------+------------------------------------+ | *Name prefix* | _dns for port 53, else _$PORT._dns | +-----------------+------------------------------------+ | *Required keys* | alpn or equivalent | +-----------------+------------------------------------+ | *Automatically | port | | mandatory keys* | | +-----------------+------------------------------------+ | *Special | Supports all HTTPS RR SvcParamKeys | | behaviors* | | +-----------------+------------------------------------+ | | Overrides the HTTPS RR for DoH | +-----------------+------------------------------------+ | | Default port is per-transport | +-----------------+------------------------------------+ | | Cleartext fallback is discouraged | +-----------------+------------------------------------+ Table 3
Thanks to the many reviewers and contributors, including Andrew Campling, Peter van Dijk, Paul Hoffman, Daniel Migault, Matt Nordhoff, Eric Rescorla, Andreas Schulze, and Éric Vyncke.
アンドリュー・キャンプリング、ピーター・ヴァン・ディク、ポール・ホフマン、ダニエル・ミゴール、マット・ノルドホフ、エリック・レスカルラ、アンドレアス・シュルゼ、エリック・ヴィンチなど、多くのレビュアーと貢献者に感謝します。
Benjamin Schwartz Meta Platforms, Inc. Email: ietf@bemasc.net