メインコンテンツまでスキップ

8. Zone Considerations (ゾーンに関する考慮事項)

署名されたゾーンと未署名のゾーンの間にはいくつかの違いがあります。署名されたゾーンには, 追加のセキュリティ関連レコード (RRSIG, DNSKEY, DS, および NSEC レコード) が含まれます。RRSIG および NSEC レコードは, ゾーンを提供する前に署名プロセスによって生成される場合があります。ゾーンデータに付随する RRSIG レコードには, 署名と署名がカバーするゾーンデータの有効期間を確立する定義された開始時刻と有効期限があります。

8.1. TTL Values vs. RRSIG Validity Period (TTL 値と RRSIG 有効期間)

RRset の TTL 値と, その RRset をカバーする RRSIG RR によって指定される署名有効期間との区別に注意することが重要です。DNSSEC は TTL 値の定義または機能を変更しません, TTL 値はキャッシュ内のデータベースの一貫性を維持することを目的としています。キャッシングリゾルバは, リゾルバがセキュリティ認識であるかどうかに関係なく, それらの RRset の TTL フィールドによって指定された期間の終了時またはそれより前にキャッシュから RRset をパージします。

一方, RRSIG RR ([RFC4034]) の開始フィールドと有効期限フィールドは, カバーされた RRset を検証するために署名を使用できる期間を指定します。署名されたゾーンデータに関連する署名は, 問題の RRSIG RR のこれらのフィールドによって指定された期間中のみ有効です。TTL 値はリゾルバのキャッシュ内の署名された RRset の有効期間を延長することはできませんが, リゾルバは署名された RRset の署名有効期間の有効期限までの残り時間を, リゾルバのキャッシュ内の署名された RRset とその関連する RRSIG RR の TTL の上限として使用できます。

8.2. New Temporal Dependency Issues for Zones (ゾーンの新しい時間依存性の問題)

署名されたゾーンの情報には, 元の DNS プロトコルには存在しなかった時間依存性があります。署名されたゾーンは, ゾーン内の各 RRset が現在有効な RRSIG RR を持つことを保証するために定期的なメンテナンスが必要です。RRSIG RR の署名有効期間は, 1つの特定の署名された RRset の署名が有効と見なされる間隔であり, ゾーン内の異なる RRset の署名は異なる時刻に期限切れになる可能性があります。ゾーン内の1つ以上の RRset に再署名すると, 1つ以上の RRSIG RR が変更され, これによりゾーンの SOA シリアル番号をインクリメントしてゾーン変更が発生したことを示し, SOA RRset 自体に再署名する必要があります。したがって, ゾーン内の任意の RRset に再署名すると, DNS NOTIFY メッセージとゾーン転送操作もトリガーされる可能性があります。

最終更新