Zum Hauptinhalt springen

RFC 4035 - Protokolländerungen für die DNS-Sicherheitserweiterungen (Protocol Modifications for the DNS Security Extensions)

Veröffentlichung: März 2005
Status: Standards Track
Autoren: R. Arends (Telematica Instituut), R. Austein (ISC), M. Larson (VeriSign), D. Massey (Colorado State University), S. Rose (NIST)

Zusammenfassung (Abstract)

Dieses Dokument ist Teil einer Dokumentenfamilie, die die DNS-Sicherheitserweiterungen (DNS Security Extensions, DNSSEC) beschreibt. Die DNS-Sicherheitserweiterungen sind eine Sammlung neuer Ressourceneinträge (Resource Records) und Protokolländerungen, die Datenherkunftsauthentifizierung (Data Origin Authentication) und Datenintegrität (Data Integrity) zum DNS hinzufügen. Dieses Dokument beschreibt die DNSSEC-Protokolländerungen. Dieses Dokument definiert das Konzept einer signierten Zone (Signed Zone) zusammen mit den Anforderungen für das Bereitstellen und Auflösen unter Verwendung von DNSSEC. Diese Techniken ermöglichen es einem sicherheitsbewussten Resolver (Security-aware Resolver), sowohl DNS-Ressourceneinträge als auch autoritative DNS-Fehleranzeigen zu authentifizieren.

Dieses Dokument ersetzt RFC 2535 und integriert alle Änderungen aus allen Updates zu RFC 2535.

Inhaltsverzeichnis (Table of Contents)

  • 1. Introduction (Einführung)
    • 1.1. Background and Related Documents (Hintergrund und verwandte Dokumente)
    • 1.2. Reserved Words (Reservierte Wörter)
  • 2. Zone Signing (Zonensignierung)
    • 2.1. Including DNSKEY RRs in a Zone (Einbeziehung von DNSKEY-RRs in eine Zone)
    • 2.2. Including RRSIG RRs in a Zone (Einbeziehung von RRSIG-RRs in eine Zone)
    • 2.3. Including NSEC RRs in a Zone (Einbeziehung von NSEC-RRs in eine Zone)
    • 2.4. Including DS RRs in a Zone (Einbeziehung von DS-RRs in eine Zone)
    • 2.5. Changes to the CNAME Resource Record (Änderungen am CNAME-Ressourceneintrag)
    • 2.6. DNSSEC RR Types Appearing at Zone Cuts (DNSSEC-RR-Typen an Zonenschnitten)
    • 2.7. Example of a Secure Zone (Beispiel einer sicheren Zone)
  • 3. Serving (Bereitstellung)
    • 3.1. Authoritative Name Servers (Autoritative Nameserver)
      • 3.1.1. Including RRSIG RRs in a Response (Einbeziehung von RRSIG-RRs in eine Antwort)
      • 3.1.2. Including DNSKEY RRs in a Response (Einbeziehung von DNSKEY-RRs in eine Antwort)
      • 3.1.3. Including NSEC RRs in a Response (Einbeziehung von NSEC-RRs in eine Antwort)
      • 3.1.4. Including DS RRs in a Response (Einbeziehung von DS-RRs in eine Antwort)
      • 3.1.5. Responding to Queries for Type AXFR or IXFR (Beantwortung von Abfragen des Typs AXFR oder IXFR)
      • 3.1.6. The AD and CD Bits in an Authoritative Response (Die AD- und CD-Bits in einer autoritativen Antwort)
    • 3.2. Recursive Name Servers (Rekursive Nameserver)
      • 3.2.1. The DO Bit (Das DO-Bit)
      • 3.2.2. The CD Bit (Das CD-Bit)
      • 3.2.3. The AD Bit (Das AD-Bit)
    • 3.3. Example DNSSEC Responses (Beispiel-DNSSEC-Antworten)
  • 4. Resolving (Auflösung)
    • 4.1. EDNS Support (EDNS-Unterstützung)
    • 4.2. Signature Verification Support (Signaturverifizierungsunterstützung)
    • 4.3. Determining Security Status of Data (Bestimmung des Sicherheitsstatus von Daten)
    • 4.4. Configured Trust Anchors (Konfigurierte Vertrauensanker)
    • 4.5. Response Caching (Antwort-Caching)
    • 4.6. Handling of the CD and AD Bits (Behandlung der CD- und AD-Bits)
    • 4.7. Caching BAD Data (Caching fehlerhafter Daten)
    • 4.8. Synthesized CNAMEs (Synthetisierte CNAMEs)
    • 4.9. Stub Resolvers (Stub-Resolver)
      • 4.9.1. Handling of the DO Bit (Behandlung des DO-Bits)
      • 4.9.2. Handling of the CD Bit (Behandlung des CD-Bits)
      • 4.9.3. Handling of the AD Bit (Behandlung des AD-Bits)
  • 5. Authenticating DNS Responses (Authentifizierung von DNS-Antworten)
    • 5.1. Special Considerations for Islands of Security (Besondere Überlegungen für Sicherheitsinseln)
    • 5.2. Authenticating Referrals (Authentifizierung von Delegierungen)
    • 5.3. Authenticating an RRset with an RRSIG RR (Authentifizierung eines RRset mit einem RRSIG-RR)
      • 5.3.1. Checking the RRSIG RR Validity (Überprüfung der RRSIG-RR-Gültigkeit)
      • 5.3.2. Reconstructing the Signed Data (Rekonstruktion der signierten Daten)
      • 5.3.3. Checking the Signature (Überprüfung der Signatur)
      • 5.3.4. Authenticating a Wildcard Expanded RRset Positive Response (Authentifizierung einer positiven Antwort mit erweitertem Wildcard-RRset)
    • 5.4. Authenticated Denial of Existence (Authentifizierte Nichtexistenz)
    • 5.5. Resolver Behavior When Signatures Do Not Validate (Resolver-Verhalten bei fehlgeschlagener Signaturvalidierung)
    • 5.6. Authentication Example (Authentifizierungsbeispiel)
  • 6. IANA Considerations (IANA-Überlegungen)
  • 7. Security Considerations (Sicherheitsüberlegungen)
  • 8. Acknowledgements (Danksagungen)
  • 9. References (Referenzen)
    • 9.1. Normative References (Normative Referenzen)
    • 9.2. Informative References (Informative Referenzen)

Anhänge (Appendices)

  • Appendix A. Signed Zone Example (Beispiel einer signierten Zone)
  • Appendix B. Example Responses (Beispielantworten)
    • B.1. Answer (Antwort)
    • B.2. Name Error (Namensfehler)
    • B.3. No Data Error (Kein-Daten-Fehler)
    • B.4. Referral to Signed Zone (Delegierung zu einer signierten Zone)
    • B.5. Referral to Unsigned Zone (Delegierung zu einer unsignierten Zone)
    • B.6. Wildcard Expansion (Wildcard-Erweiterung)
    • B.7. Wildcard No Data Error (Wildcard-Kein-Daten-Fehler)
    • B.8. DS Child Zone No Data Error (DS-Kindzone-Kein-Daten-Fehler)
  • Appendix C. Authentication Examples (Authentifizierungsbeispiele)
    • C.1. Authenticating an Answer (Authentifizierung einer Antwort)
      • C.1.1. Authenticating the Example DNSKEY RR (Authentifizierung des Beispiel-DNSKEY-RR)
    • C.2. Name Error (Namensfehler)
    • C.3. No Data Error (Kein-Daten-Fehler)
    • C.4. Referral to Signed Zone (Delegierung zu einer signierten Zone)
    • C.5. Referral to Unsigned Zone (Delegierung zu einer unsignierten Zone)
    • C.6. Wildcard Expansion (Wildcard-Erweiterung)
    • C.7. Wildcard No Data Error (Wildcard-Kein-Daten-Fehler)
    • C.8. DS Child Zone No Data Error (DS-Kindzone-Kein-Daten-Fehler)

Dieses Dokument ist Teil der DNSSEC-Trilogie:

  • RFC 4033 - DNS-Sicherheit Einführung und Anforderungen
  • RFC 4034 - Ressourceneinträge für die DNS-Sicherheitserweiterungen
  • RFC 4035 - Protokolländerungen für die DNS-Sicherheitserweiterungen (dieses Dokument)

Siehe auch:

  • RFC 5155 - DNS-Sicherheit (DNSSEC) gehashte authentifizierte Nichtexistenz
  • RFC 6840 - Klarstellungen und Implementierungshinweise für DNS-Sicherheit
  • RFC 8624 - Algorithmus-Implementierungsanforderungen und Nutzungsrichtlinien für DNSSEC
Letztes Update am