メインコンテンツまでスキップ

RFC 4035 - DNSセキュリティ拡張のプロトコル変更 (Protocol Modifications for the DNS Security Extensions)

発行日: 2005年3月
ステータス: 標準化過程 (Standards Track)
著者: R. Arends (Telematica Instituut), R. Austein (ISC), M. Larson (VeriSign), D. Massey (Colorado State University), S. Rose (NIST)

概要 (Abstract)

本文書は、DNSセキュリティ拡張 (DNS Security Extensions, DNSSEC) を説明する文書ファミリーの一部です。DNSセキュリティ拡張は、DNSにデータの出所認証 (Data Origin Authentication) とデータの完全性 (Data Integrity) を追加する新しいリソースレコード (Resource Records) とプロトコル変更のコレクションです。本文書は、DNSSECプロトコル変更について説明します。本文書は、署名済みゾーン (Signed Zone) の概念を定義し、DNSSECを使用したサービス提供と解決の要件を示します。これらの技術により、セキュリティ対応リゾルバ (Security-aware Resolver) は、DNSリソースレコードと権威DNSエラー表示の両方を認証できます。

本文書はRFC 2535を廃止し、RFC 2535へのすべての更新を組み込んでいます。

目次 (Table of Contents)

  • 1. Introduction (序章)
    • 1.1. Background and Related Documents (背景と関連文書)
    • 1.2. Reserved Words (予約語)
  • 2. Zone Signing (ゾーン署名)
    • 2.1. Including DNSKEY RRs in a Zone (ゾーンへのDNSKEY RRの追加)
    • 2.2. Including RRSIG RRs in a Zone (ゾーンへのRRSIG RRの追加)
    • 2.3. Including NSEC RRs in a Zone (ゾーンへのNSEC RRの追加)
    • 2.4. Including DS RRs in a Zone (ゾーンへのDS RRの追加)
    • 2.5. Changes to the CNAME Resource Record (CNAMEリソースレコードへの変更)
    • 2.6. DNSSEC RR Types Appearing at Zone Cuts (ゾーンカットに現れるDNSSEC RRタイプ)
    • 2.7. Example of a Secure Zone (セキュアゾーンの例)
  • 3. Serving (サービス提供)
    • 3.1. Authoritative Name Servers (権威ネームサーバー)
      • 3.1.1. Including RRSIG RRs in a Response (レスポンスへのRRSIG RRの追加)
      • 3.1.2. Including DNSKEY RRs in a Response (レスポンスへのDNSKEY RRの追加)
      • 3.1.3. Including NSEC RRs in a Response (レスポンスへのNSEC RRの追加)
      • 3.1.4. Including DS RRs in a Response (レスポンスへのDS RRの追加)
      • 3.1.5. Responding to Queries for Type AXFR or IXFR (AXFR/IXFRタイプクエリへの応答)
      • 3.1.6. The AD and CD Bits in an Authoritative Response (権威応答におけるADビットとCDビット)
    • 3.2. Recursive Name Servers (再帰的ネームサーバー)
      • 3.2.1. The DO Bit (DOビット)
      • 3.2.2. The CD Bit (CDビット)
      • 3.2.3. The AD Bit (ADビット)
    • 3.3. Example DNSSEC Responses (DNSSEC応答の例)
  • 4. Resolving (解決)
    • 4.1. EDNS Support (EDNSサポート)
    • 4.2. Signature Verification Support (署名検証サポート)
    • 4.3. Determining Security Status of Data (データのセキュリティステータスの決定)
    • 4.4. Configured Trust Anchors (設定済みトラストアンカー)
    • 4.5. Response Caching (応答のキャッシング)
    • 4.6. Handling of the CD and AD Bits (CDビットとADビットの処理)
    • 4.7. Caching BAD Data (不正データのキャッシング)
    • 4.8. Synthesized CNAMEs (合成CNAME)
    • 4.9. Stub Resolvers (スタブリゾルバ)
      • 4.9.1. Handling of the DO Bit (DOビットの処理)
      • 4.9.2. Handling of the CD Bit (CDビットの処理)
      • 4.9.3. Handling of the AD Bit (ADビットの処理)
  • 5. Authenticating DNS Responses (DNS応答の認証)
    • 5.1. Special Considerations for Islands of Security (セキュリティアイランドの特別な考慮事項)
    • 5.2. Authenticating Referrals (委任の認証)
    • 5.3. Authenticating an RRset with an RRSIG RR (RRSIG RRによるRRsetの認証)
      • 5.3.1. Checking the RRSIG RR Validity (RRSIG RRの有効性確認)
      • 5.3.2. Reconstructing the Signed Data (署名データの再構築)
      • 5.3.3. Checking the Signature (署名の確認)
      • 5.3.4. Authenticating a Wildcard Expanded RRset Positive Response (ワイルドカード展開RRset肯定応答の認証)
    • 5.4. Authenticated Denial of Existence (認証された非存在証明)
    • 5.5. Resolver Behavior When Signatures Do Not Validate (署名が検証されない場合のリゾルバの動作)
    • 5.6. Authentication Example (認証の例)
  • 6. IANA Considerations (IANAに関する考慮事項)
  • 7. Security Considerations (セキュリティに関する考慮事項)
  • 8. Acknowledgements (謝辞)
  • 9. References (参考文献)
    • 9.1. Normative References (規範的参考文献)
    • 9.2. Informative References (参考情報)

付録 (Appendices)

  • Appendix A. Signed Zone Example (署名済みゾーンの例)
  • Appendix B. Example Responses (応答の例)
    • B.1. Answer (回答)
    • B.2. Name Error (名前エラー)
    • B.3. No Data Error (データなしエラー)
    • B.4. Referral to Signed Zone (署名済みゾーンへの委任)
    • B.5. Referral to Unsigned Zone (未署名ゾーンへの委任)
    • B.6. Wildcard Expansion (ワイルドカード展開)
    • B.7. Wildcard No Data Error (ワイルドカードデータなしエラー)
    • B.8. DS Child Zone No Data Error (DS子ゾーンデータなしエラー)
  • Appendix C. Authentication Examples (認証の例)
    • C.1. Authenticating an Answer (回答の認証)
      • C.1.1. Authenticating the Example DNSKEY RR (サンプルDNSKEY RRの認証)
    • C.2. Name Error (名前エラー)
    • C.3. No Data Error (データなしエラー)
    • C.4. Referral to Signed Zone (署名済みゾーンへの委任)
    • C.5. Referral to Unsigned Zone (未署名ゾーンへの委任)
    • C.6. Wildcard Expansion (ワイルドカード展開)
    • C.7. Wildcard No Data Error (ワイルドカードデータなしエラー)
    • C.8. DS Child Zone No Data Error (DS子ゾーンデータなしエラー)

本文書は、DNSSEC三部作の一部です:

  • RFC 4033 - DNSセキュリティの導入と要件
  • RFC 4034 - DNSセキュリティ拡張のリソースレコード
  • RFC 4035 - DNSセキュリティ拡張のプロトコル変更 (本文書)

参照:

  • RFC 5155 - DNSセキュリティ (DNSSEC) ハッシュ化された認証済み非存在証明
  • RFC 6840 - DNSセキュリティの明確化と実装ノート
  • RFC 8624 - DNSSECのアルゴリズム実装要件と使用ガイダンス
最終更新