Passa al contenuto principale

RFC 4035 - Modifiche del protocollo per le estensioni di sicurezza DNS (Protocol Modifications for the DNS Security Extensions)

Data di pubblicazione: Marzo 2005
Stato: Standards Track
Autori: R. Arends (Telematica Instituut), R. Austein (ISC), M. Larson (VeriSign), D. Massey (Colorado State University), S. Rose (NIST)

Sommario (Abstract)

Questo documento fa parte di una famiglia di documenti che descrivono le estensioni di sicurezza DNS (DNS Security Extensions, DNSSEC). Le estensioni di sicurezza DNS sono una raccolta di nuovi record di risorse (Resource Records) e modifiche del protocollo che aggiungono l'autenticazione dell'origine dei dati (Data Origin Authentication) e l'integrità dei dati (Data Integrity) al DNS. Questo documento descrive le modifiche del protocollo DNSSEC. Questo documento definisce il concetto di zona firmata (Signed Zone), insieme ai requisiti per il servizio e la risoluzione utilizzando DNSSEC. Queste tecniche consentono a un resolver consapevole della sicurezza (Security-aware Resolver) di autenticare sia i record di risorse DNS che le indicazioni di errore DNS autorevoli.

Questo documento rende obsoleto RFC 2535 e incorpora le modifiche di tutti gli aggiornamenti a RFC 2535.

Indice (Table of Contents)

  • 1. Introduction (Introduzione)
    • 1.1. Background and Related Documents (Contesto e documenti correlati)
    • 1.2. Reserved Words (Parole riservate)
  • 2. Zone Signing (Firma della zona)
    • 2.1. Including DNSKEY RRs in a Zone (Inclusione di RR DNSKEY in una zona)
    • 2.2. Including RRSIG RRs in a Zone (Inclusione di RR RRSIG in una zona)
    • 2.3. Including NSEC RRs in a Zone (Inclusione di RR NSEC in una zona)
    • 2.4. Including DS RRs in a Zone (Inclusione di RR DS in una zona)
    • 2.5. Changes to the CNAME Resource Record (Modifiche al record di risorsa CNAME)
    • 2.6. DNSSEC RR Types Appearing at Zone Cuts (Tipi di RR DNSSEC che appaiono ai tagli di zona)
    • 2.7. Example of a Secure Zone (Esempio di zona sicura)
  • 3. Serving (Servizio)
    • 3.1. Authoritative Name Servers (Server dei nomi autorevoli)
      • 3.1.1. Including RRSIG RRs in a Response (Inclusione di RR RRSIG in una risposta)
      • 3.1.2. Including DNSKEY RRs in a Response (Inclusione di RR DNSKEY in una risposta)
      • 3.1.3. Including NSEC RRs in a Response (Inclusione di RR NSEC in una risposta)
      • 3.1.4. Including DS RRs in a Response (Inclusione di RR DS in una risposta)
      • 3.1.5. Responding to Queries for Type AXFR or IXFR (Risposta alle query di tipo AXFR o IXFR)
      • 3.1.6. The AD and CD Bits in an Authoritative Response (I bit AD e CD in una risposta autorevole)
    • 3.2. Recursive Name Servers (Server dei nomi ricorsivi)
      • 3.2.1. The DO Bit (Il bit DO)
      • 3.2.2. The CD Bit (Il bit CD)
      • 3.2.3. The AD Bit (Il bit AD)
    • 3.3. Example DNSSEC Responses (Esempi di risposte DNSSEC)
  • 4. Resolving (Risoluzione)
    • 4.1. EDNS Support (Supporto EDNS)
    • 4.2. Signature Verification Support (Supporto per la verifica della firma)
    • 4.3. Determining Security Status of Data (Determinazione dello stato di sicurezza dei dati)
    • 4.4. Configured Trust Anchors (Ancore di fiducia configurate)
    • 4.5. Response Caching (Caching delle risposte)
    • 4.6. Handling of the CD and AD Bits (Gestione dei bit CD e AD)
    • 4.7. Caching BAD Data (Caching di dati non validi)
    • 4.8. Synthesized CNAMEs (CNAME sintetizzati)
    • 4.9. Stub Resolvers (Resolver stub)
      • 4.9.1. Handling of the DO Bit (Gestione del bit DO)
      • 4.9.2. Handling of the CD Bit (Gestione del bit CD)
      • 4.9.3. Handling of the AD Bit (Gestione del bit AD)
  • 5. Authenticating DNS Responses (Autenticazione delle risposte DNS)
    • 5.1. Special Considerations for Islands of Security (Considerazioni speciali per le isole di sicurezza)
    • 5.2. Authenticating Referrals (Autenticazione delle deleghe)
    • 5.3. Authenticating an RRset with an RRSIG RR (Autenticazione di un RRset con un RR RRSIG)
      • 5.3.1. Checking the RRSIG RR Validity (Verifica della validità del RR RRSIG)
      • 5.3.2. Reconstructing the Signed Data (Ricostruzione dei dati firmati)
      • 5.3.3. Checking the Signature (Verifica della firma)
      • 5.3.4. Authenticating a Wildcard Expanded RRset Positive Response (Autenticazione di una risposta positiva di RRset espanso con wildcard)
    • 5.4. Authenticated Denial of Existence (Negazione dell'esistenza autenticata)
    • 5.5. Resolver Behavior When Signatures Do Not Validate (Comportamento del resolver quando le firme non sono valide)
    • 5.6. Authentication Example (Esempio di autenticazione)
  • 6. IANA Considerations (Considerazioni IANA)
  • 7. Security Considerations (Considerazioni sulla sicurezza)
  • 8. Acknowledgements (Ringraziamenti)
  • 9. References (Riferimenti)
    • 9.1. Normative References (Riferimenti normativi)
    • 9.2. Informative References (Riferimenti informativi)

Appendici (Appendices)

  • Appendix A. Signed Zone Example (Esempio di zona firmata)
  • Appendix B. Example Responses (Esempi di risposte)
    • B.1. Answer (Risposta)
    • B.2. Name Error (Errore di nome)
    • B.3. No Data Error (Errore nessun dato)
    • B.4. Referral to Signed Zone (Delega a zona firmata)
    • B.5. Referral to Unsigned Zone (Delega a zona non firmata)
    • B.6. Wildcard Expansion (Espansione wildcard)
    • B.7. Wildcard No Data Error (Errore wildcard nessun dato)
    • B.8. DS Child Zone No Data Error (Errore DS zona figlia nessun dato)
  • Appendix C. Authentication Examples (Esempi di autenticazione)
    • C.1. Authenticating an Answer (Autenticazione di una risposta)
      • C.1.1. Authenticating the Example DNSKEY RR (Autenticazione del RR DNSKEY di esempio)
    • C.2. Name Error (Errore di nome)
    • C.3. No Data Error (Errore nessun dato)
    • C.4. Referral to Signed Zone (Delega a zona firmata)
    • C.5. Referral to Unsigned Zone (Delega a zona non firmata)
    • C.6. Wildcard Expansion (Espansione wildcard)
    • C.7. Wildcard No Data Error (Errore wildcard nessun dato)
    • C.8. DS Child Zone No Data Error (Errore DS zona figlia nessun dato)

Questo documento fa parte della trilogia DNSSEC:

  • RFC 4033 - Introduzione e requisiti della sicurezza DNS
  • RFC 4034 - Record di risorse per le estensioni di sicurezza DNS
  • RFC 4035 - Modifiche del protocollo per le estensioni di sicurezza DNS (questo documento)

Vedere anche:

  • RFC 5155 - Negazione dell'esistenza autenticata con hash per la sicurezza DNS (DNSSEC)
  • RFC 6840 - Chiarimenti e note di implementazione per la sicurezza DNS
  • RFC 8624 - Requisiti di implementazione degli algoritmi e guida all'uso per DNSSEC
Ultimo aggiornamento il