Aller au contenu principal

RFC 4035 - Modifications du protocole pour les extensions de sécurité DNS (Protocol Modifications for the DNS Security Extensions)

Date de publication : Mars 2005
Statut : Standards Track
Auteurs : R. Arends (Telematica Instituut), R. Austein (ISC), M. Larson (VeriSign), D. Massey (Colorado State University), S. Rose (NIST)

Résumé (Abstract)

Ce document fait partie d'une famille de documents qui décrivent les extensions de sécurité DNS (DNS Security Extensions, DNSSEC). Les extensions de sécurité DNS sont une collection de nouveaux enregistrements de ressources (Resource Records) et de modifications de protocole qui ajoutent l'authentification de l'origine des données (Data Origin Authentication) et l'intégrité des données (Data Integrity) au DNS. Ce document décrit les modifications du protocole DNSSEC. Ce document définit le concept de zone signée (Signed Zone), ainsi que les exigences pour le service et la résolution en utilisant DNSSEC. Ces techniques permettent à un résolveur sensible à la sécurité (Security-aware Resolver) d'authentifier à la fois les enregistrements de ressources DNS et les indications d'erreur DNS faisant autorité.

Ce document rend obsolète le RFC 2535 et incorpore les modifications de toutes les mises à jour du RFC 2535.

Table des matières (Table of Contents)

  • 1. Introduction
    • 1.1. Background and Related Documents (Contexte et documents connexes)
    • 1.2. Reserved Words (Mots réservés)
  • 2. Zone Signing (Signature de zone)
    • 2.1. Including DNSKEY RRs in a Zone (Inclusion des RR DNSKEY dans une zone)
    • 2.2. Including RRSIG RRs in a Zone (Inclusion des RR RRSIG dans une zone)
    • 2.3. Including NSEC RRs in a Zone (Inclusion des RR NSEC dans une zone)
    • 2.4. Including DS RRs in a Zone (Inclusion des RR DS dans une zone)
    • 2.5. Changes to the CNAME Resource Record (Modifications de l'enregistrement de ressource CNAME)
    • 2.6. DNSSEC RR Types Appearing at Zone Cuts (Types de RR DNSSEC apparaissant aux coupures de zone)
    • 2.7. Example of a Secure Zone (Exemple de zone sécurisée)
  • 3. Serving (Service)
    • 3.1. Authoritative Name Servers (Serveurs de noms faisant autorité)
      • 3.1.1. Including RRSIG RRs in a Response (Inclusion des RR RRSIG dans une réponse)
      • 3.1.2. Including DNSKEY RRs in a Response (Inclusion des RR DNSKEY dans une réponse)
      • 3.1.3. Including NSEC RRs in a Response (Inclusion des RR NSEC dans une réponse)
      • 3.1.4. Including DS RRs in a Response (Inclusion des RR DS dans une réponse)
      • 3.1.5. Responding to Queries for Type AXFR or IXFR (Réponse aux requêtes de type AXFR ou IXFR)
      • 3.1.6. The AD and CD Bits in an Authoritative Response (Les bits AD et CD dans une réponse faisant autorité)
    • 3.2. Recursive Name Servers (Serveurs de noms récursifs)
      • 3.2.1. The DO Bit (Le bit DO)
      • 3.2.2. The CD Bit (Le bit CD)
      • 3.2.3. The AD Bit (Le bit AD)
    • 3.3. Example DNSSEC Responses (Exemples de réponses DNSSEC)
  • 4. Resolving (Résolution)
    • 4.1. EDNS Support (Support EDNS)
    • 4.2. Signature Verification Support (Support de vérification de signature)
    • 4.3. Determining Security Status of Data (Détermination du statut de sécurité des données)
    • 4.4. Configured Trust Anchors (Ancres de confiance configurées)
    • 4.5. Response Caching (Mise en cache des réponses)
    • 4.6. Handling of the CD and AD Bits (Traitement des bits CD et AD)
    • 4.7. Caching BAD Data (Mise en cache de données incorrectes)
    • 4.8. Synthesized CNAMEs (CNAME synthétisés)
    • 4.9. Stub Resolvers (Résolveurs stub)
      • 4.9.1. Handling of the DO Bit (Traitement du bit DO)
      • 4.9.2. Handling of the CD Bit (Traitement du bit CD)
      • 4.9.3. Handling of the AD Bit (Traitement du bit AD)
  • 5. Authenticating DNS Responses (Authentification des réponses DNS)
    • 5.1. Special Considerations for Islands of Security (Considérations spéciales pour les îlots de sécurité)
    • 5.2. Authenticating Referrals (Authentification des délégations)
    • 5.3. Authenticating an RRset with an RRSIG RR (Authentification d'un RRset avec un RR RRSIG)
      • 5.3.1. Checking the RRSIG RR Validity (Vérification de la validité du RR RRSIG)
      • 5.3.2. Reconstructing the Signed Data (Reconstruction des données signées)
      • 5.3.3. Checking the Signature (Vérification de la signature)
      • 5.3.4. Authenticating a Wildcard Expanded RRset Positive Response (Authentification d'une réponse positive de RRset étendu par joker)
    • 5.4. Authenticated Denial of Existence (Déni d'existence authentifié)
    • 5.5. Resolver Behavior When Signatures Do Not Validate (Comportement du résolveur lorsque les signatures ne valident pas)
    • 5.6. Authentication Example (Exemple d'authentification)
  • 6. IANA Considerations (Considérations IANA)
  • 7. Security Considerations (Considérations de sécurité)
  • 8. Acknowledgements (Remerciements)
  • 9. References (Références)
    • 9.1. Normative References (Références normatives)
    • 9.2. Informative References (Références informatives)

Annexes (Appendices)

  • Appendix A. Signed Zone Example (Exemple de zone signée)
  • Appendix B. Example Responses (Exemples de réponses)
    • B.1. Answer (Réponse)
    • B.2. Name Error (Erreur de nom)
    • B.3. No Data Error (Erreur sans données)
    • B.4. Referral to Signed Zone (Délégation vers une zone signée)
    • B.5. Referral to Unsigned Zone (Délégation vers une zone non signée)
    • B.6. Wildcard Expansion (Extension par joker)
    • B.7. Wildcard No Data Error (Erreur joker sans données)
    • B.8. DS Child Zone No Data Error (Erreur DS zone enfant sans données)
  • Appendix C. Authentication Examples (Exemples d'authentification)
    • C.1. Authenticating an Answer (Authentification d'une réponse)
      • C.1.1. Authenticating the Example DNSKEY RR (Authentification du RR DNSKEY d'exemple)
    • C.2. Name Error (Erreur de nom)
    • C.3. No Data Error (Erreur sans données)
    • C.4. Referral to Signed Zone (Délégation vers une zone signée)
    • C.5. Referral to Unsigned Zone (Délégation vers une zone non signée)
    • C.6. Wildcard Expansion (Extension par joker)
    • C.7. Wildcard No Data Error (Erreur joker sans données)
    • C.8. DS Child Zone No Data Error (Erreur DS zone enfant sans données)

Ce document fait partie de la trilogie DNSSEC :

  • RFC 4033 - Introduction et exigences de sécurité DNS
  • RFC 4034 - Enregistrements de ressources pour les extensions de sécurité DNS
  • RFC 4035 - Modifications du protocole pour les extensions de sécurité DNS (ce document)

Voir également :

  • RFC 5155 - Déni d'existence authentifié haché pour la sécurité DNS (DNSSEC)
  • RFC 6840 - Clarifications et notes d'implémentation pour la sécurité DNS
  • RFC 8624 - Exigences d'implémentation d'algorithmes et guide d'utilisation pour DNSSEC
Dernière mise à jour le