Passa al contenuto principale

2. Definitions of Important DNSSEC Terms (Definizioni dei termini DNSSEC importanti)

Questa sezione definisce un certo numero di termini utilizzati in questo insieme di documenti. Poiché è inteso come utile riferimento durante la lettura del resto dell'insieme di documenti, i lettori alle prime armi potrebbero voler scorrere rapidamente questa sezione, leggere il resto di questo documento e poi tornare a questa sezione.

Authentication Chain (Catena di autenticazione): Una sequenza alternata di RRset di chiavi pubbliche DNS (DNSKEY) e RRset di Delegation Signer (DS) forma una catena di dati firmati, con ogni anello della catena che garantisce il successivo. Un DNSKEY RR viene utilizzato per verificare la firma che copre un DS RR e consente l'autenticazione del DS RR. Il DS RR contiene un hash di un altro DNSKEY RR e questo nuovo DNSKEY RR viene autenticato confrontando l'hash nel DS RR. Questo nuovo DNSKEY RR a sua volta autentica un altro RRset DNSKEY e, a sua volta, qualche DNSKEY RR in questo set può essere utilizzato per autenticare un altro DS RR, e così via fino a quando la catena termina finalmente con un DNSKEY RR la cui chiave privata corrispondente firma i dati DNS desiderati. Ad esempio, l'RRset DNSKEY radice può essere utilizzato per autenticare l'RRset DS per "example." L'RRset DS "example." contiene un hash che corrisponde a qualche DNSKEY "example.", e la chiave privata corrispondente di questo DNSKEY firma l'RRset DNSKEY "example." Le controparti di chiavi private dell'RRset DNSKEY "example." firmano record di dati come "www.example." e DS RR per delegazioni come "subzone.example."

Authentication Key (Chiave di autenticazione): Una chiave pubblica che un resolver consapevole della sicurezza ha verificato e può quindi utilizzare per autenticare i dati. Un resolver consapevole della sicurezza può ottenere chiavi di autenticazione in tre modi. In primo luogo, il resolver è generalmente configurato per conoscere almeno una chiave pubblica, questi dati configurati sono solitamente la chiave pubblica stessa o un hash della chiave pubblica come trovato nel DS RR (vedere "trust anchor"). In secondo luogo, il resolver può utilizzare una chiave pubblica autenticata per verificare un DS RR e il DNSKEY RR a cui il DS RR fa riferimento. In terzo luogo, il resolver potrebbe essere in grado di determinare che una nuova chiave pubblica è stata firmata dalla chiave privata corrispondente a un'altra chiave pubblica che il resolver ha verificato. Si noti che il resolver deve sempre essere guidato dalla politica locale quando decide se autenticare una nuova chiave pubblica, anche se la politica locale consiste semplicemente nell'autenticare qualsiasi nuova chiave pubblica per la quale il resolver è in grado di verificare la firma.

Authoritative RRset (RRset autorevole): Nel contesto di una zona particolare, un RRset è "autorevole" se e solo se il nome del proprietario dell'RRset si trova all'interno del sottoinsieme dello spazio dei nomi che si trova al vertice della zona o al di sotto e ai tagli o al di sopra che separano la zona dai suoi figli, se presenti. Tutti gli RRset al vertice della zona sono autorevoli, ad eccezione di alcuni RRset a questo nome di dominio che, se presenti, appartengono al genitore di questa zona. Questi RRset potrebbero includere un RRset DS, l'RRset NSEC che fa riferimento a questo RRset DS (l'"NSEC parentale"), e RRSIG RR associati a questi RRset, tutti autorevoli nella zona genitore. Allo stesso modo, se questa zona contiene punti di delegazione, solo l'RRset NSEC parentale, gli RRset DS e qualsiasi RRSIG RR associato a questi RRset sono autorevoli per questa zona.

Delegation Point (Punto di delegazione): Termine utilizzato per descrivere il nome sul lato parentale di un taglio di zona. Cioè, il punto di delegazione per "foo.example" sarebbe il nodo foo.example nella zona "example" (al contrario del vertice della zona "foo.example"). Vedere anche zone apex.

Island of Security (Isola di sicurezza): Termine utilizzato per descrivere una zona delegata firmata che non ha una catena di autenticazione dal suo genitore delegante. Cioè, non c'è alcun DS RR contenente un hash di un DNSKEY RR per l'isola nella sua zona genitore delegante (vedere [RFC4034]). Un'isola di sicurezza è servita da name server consapevoli della sicurezza e può fornire catene di autenticazione a qualsiasi zona figlio delegata. Le risposte da un'isola di sicurezza o dai suoi discendenti possono essere autenticate solo se le sue chiavi di autenticazione possono essere autenticate con mezzi fidati fuori banda dal protocollo DNS.

Key Signing Key (KSK, Chiave di firma delle chiavi): Una chiave di autenticazione che corrisponde a una chiave privata utilizzata per firmare una o più altre chiavi di autenticazione per una data zona. Tipicamente, la chiave privata corrispondente a una chiave di firma delle chiavi firmerà una chiave di firma della zona, che a sua volta ha una chiave privata corrispondente che firmerà altri dati di zona. La politica locale può richiedere che la chiave di firma della zona venga modificata frequentemente, mentre la chiave di firma delle chiavi può avere un periodo di validità più lungo al fine di fornire un punto di ingresso sicuro più stabile nella zona. Designare una chiave di autenticazione come chiave di firma delle chiavi è puramente una questione operativa: la validazione DNSSEC non distingue tra chiavi di firma delle chiavi e altre chiavi di autenticazione DNSSEC, ed è possibile utilizzare una singola chiave sia come chiave di firma delle chiavi che come chiave di firma della zona. Le chiavi di firma delle chiavi sono discusse in maggior dettaglio in [RFC3757]. Vedere anche zone signing key.

Non-Validating Security-Aware Stub Resolver (Resolver stub consapevole della sicurezza non validante): Un resolver stub consapevole della sicurezza che si affida a uno o più name server ricorsivi consapevoli della sicurezza per eseguire la maggior parte delle attività discusse in questo insieme di documenti per suo conto. In particolare, un resolver stub consapevole della sicurezza non validante è un'entità che invia query DNS, riceve risposte DNS ed è capace di stabilire un canale adeguatamente protetto verso un name server ricorsivo consapevole della sicurezza che fornirà questi servizi per conto del resolver stub consapevole della sicurezza. Vedere anche security-aware stub resolver, validating security-aware stub resolver.

Non-Validating Stub Resolver (Resolver stub non validante): Un termine meno tedioso per un resolver stub consapevole della sicurezza non validante.

Security-Aware Name Server (Name server consapevole della sicurezza): Un'entità che agisce nel ruolo di un name server (definito nella sezione 2.4 di [RFC1034]) che comprende le estensioni di sicurezza DNS definite in questo insieme di documenti. In particolare, un name server consapevole della sicurezza è un'entità che riceve query DNS, invia risposte DNS, supporta l'estensione della dimensione del messaggio EDNS0 ([RFC2671]) e il bit DO ([RFC3225]), e supporta i tipi RR e i bit di intestazione del messaggio definiti in questo insieme di documenti.

Security-Aware Recursive Name Server (Name server ricorsivo consapevole della sicurezza): Un'entità che agisce sia nel ruolo di name server consapevole della sicurezza che di resolver consapevole della sicurezza. Una frase più ingombrante ma equivalente sarebbe "un name server consapevole della sicurezza che offre servizio ricorsivo".

Security-Aware Resolver (Resolver consapevole della sicurezza): Un'entità che agisce nel ruolo di resolver (definito nella sezione 2.4 di [RFC1034]) che comprende le estensioni di sicurezza DNS definite in questo insieme di documenti. In particolare, un resolver consapevole della sicurezza è un'entità che invia query DNS, riceve risposte DNS, supporta l'estensione della dimensione del messaggio EDNS0 ([RFC2671]) e il bit DO ([RFC3225]), ed è capace di utilizzare i tipi RR e i bit di intestazione del messaggio definiti in questo insieme di documenti per fornire servizi DNSSEC.

Security-Aware Stub Resolver (Resolver stub consapevole della sicurezza): Un'entità che agisce nel ruolo di resolver stub (definito nella sezione 5.3.1 di [RFC1034]) che ha una comprensione sufficiente delle estensioni di sicurezza DNS definite in questo insieme di documenti per fornire servizi aggiuntivi non disponibili da un resolver stub ignaro della sicurezza. I resolver stub consapevoli della sicurezza possono essere "validanti" o "non validanti", a seconda che il resolver stub tenti di verificare le firme DNSSEC da solo o si affidi a un name server consapevole della sicurezza amichevole per farlo. Vedere anche validating stub resolver, non-validating stub resolver.

Security-Oblivious <anything> (Ignaro della sicurezza <qualsiasi cosa>): Un <qualsiasi cosa> che non è "consapevole della sicurezza".

Signed Zone (Zona firmata): Una zona i cui RRset sono firmati e che contiene record DNSKEY, Resource Record Signature (RRSIG), Next Secure (NSEC) e (opzionalmente) DS costruiti correttamente.

Trust Anchor (Ancora di fiducia): Un DNSKEY RR configurato o hash DS RR di un DNSKEY RR. Un resolver consapevole della sicurezza validante utilizza questa chiave pubblica o hash come punto di partenza per costruire la catena di autenticazione a una risposta DNS firmata. In generale, un resolver validante dovrà ottenere i valori iniziali delle sue ancore di fiducia tramite mezzi sicuri o fidati al di fuori del protocollo DNS. La presenza di un'ancora di fiducia implica anche che il resolver dovrebbe aspettarsi che la zona a cui l'ancora di fiducia punta sia firmata.

Unsigned Zone (Zona non firmata): Una zona che non è firmata.

Validating Security-Aware Stub Resolver (Resolver stub consapevole della sicurezza validante): Un resolver consapevole della sicurezza che invia query in modalità ricorsiva ma che esegue la validazione della firma da solo piuttosto che fidarsi ciecamente di un name server ricorsivo consapevole della sicurezza a monte. Vedere anche security-aware stub resolver, non-validating security-aware stub resolver.

Validating Stub Resolver (Resolver stub validante): Un termine meno tedioso per un resolver stub consapevole della sicurezza validante.

Zone Apex (Vertice di zona): Termine utilizzato per descrivere il nome sul lato figlio di un taglio di zona. Vedere anche delegation point.

Zone Signing Key (ZSK, Chiave di firma della zona): Una chiave di autenticazione che corrisponde a una chiave privata utilizzata per firmare una zona. Tipicamente, una chiave di firma della zona farà parte dello stesso RRset DNSKEY della chiave di firma delle chiavi la cui chiave privata corrispondente firma questo RRset DNSKEY, ma la chiave di firma della zona viene utilizzata per uno scopo leggermente diverso e può differire dalla chiave di firma delle chiavi in altri modi, come la durata di validità. Designare una chiave di autenticazione come chiave di firma della zona è puramente una questione operativa, la validazione DNSSEC non distingue tra chiavi di firma della zona e altre chiavi di autenticazione DNSSEC, ed è possibile utilizzare una singola chiave sia come chiave di firma delle chiavi che come chiave di firma della zona. Vedere anche key signing key.

Ultimo aggiornamento il