メインコンテンツまでスキップ

RFC 4035 - DNSセキュリティ拡張のプロトコル変更 (Protocol Modifications for the DNS Security Extensions)

  • ステータス: Proposed Standard
  • 発行日: March 2005
  • ストリーム: IETF
  • 更新: RFC1034, RFC1035, RFC2136, RFC2181, RFC2308, RFC3225, RFC3226, RFC3597
  • 廃止: RFC2535, RFC3008, RFC3090, RFC3445, RFC3655, RFC3658, RFC3755, RFC3757, RFC3845
  • エラッタ: エラッタなし

概要 (Abstract)

本文書は、DNSセキュリティ拡張 (DNS Security Extensions, DNSSEC) を説明する文書ファミリーの一部です。DNSセキュリティ拡張は、DNSにデータの出所認証 (Data Origin Authentication) とデータの完全性 (Data Integrity) を追加する新しいリソースレコード (Resource Records) とプロトコル変更のコレクションです。本文書は、DNSSECプロトコル変更について説明します。本文書は、署名済みゾーン (Signed Zone) の概念を定義し、DNSSECを使用したサービス提供と解決の要件を示します。これらの技術により、セキュリティ対応リゾルバ (Security-aware Resolver) は、DNSリソースレコードと権威DNSエラー表示の両方を認証できます。

本文書はRFC 2535を廃止し、RFC 2535へのすべての更新を組み込んでいます。

目次 (Table of Contents)

  • 1. Introduction (序章)
    • 1.1. Background and Related Documents (背景と関連文書)
    • 1.2. Reserved Words (予約語)
  • 2. Zone Signing (ゾーン署名)
    • 2.1. Including DNSKEY RRs in a Zone (ゾーンへのDNSKEY RRの追加)
    • 2.2. Including RRSIG RRs in a Zone (ゾーンへのRRSIG RRの追加)
    • 2.3. Including NSEC RRs in a Zone (ゾーンへのNSEC RRの追加)
    • 2.4. Including DS RRs in a Zone (ゾーンへのDS RRの追加)
    • 2.5. Changes to the CNAME Resource Record (CNAMEリソースレコードへの変更)
    • 2.6. DNSSEC RR Types Appearing at Zone Cuts (ゾーンカットに現れるDNSSEC RRタイプ)
    • 2.7. Example of a Secure Zone (セキュアゾーンの例)
  • 3. Serving (サービス提供)
    • 3.1. Authoritative Name Servers (権威ネームサーバー)
      • 3.1.1. Including RRSIG RRs in a Response (レスポンスへのRRSIG RRの追加)
      • 3.1.2. Including DNSKEY RRs in a Response (レスポンスへのDNSKEY RRの追加)
      • 3.1.3. Including NSEC RRs in a Response (レスポンスへのNSEC RRの追加)
      • 3.1.4. Including DS RRs in a Response (レスポンスへのDS RRの追加)
      • 3.1.5. Responding to Queries for Type AXFR or IXFR (AXFR/IXFRタイプクエリへの応答)
      • 3.1.6. The AD and CD Bits in an Authoritative Response (権威応答におけるADビットとCDビット)
    • 3.2. Recursive Name Servers (再帰的ネームサーバー)
      • 3.2.1. The DO Bit (DOビット)
      • 3.2.2. The CD Bit (CDビット)
      • 3.2.3. The AD Bit (ADビット)
    • 3.3. Example DNSSEC Responses (DNSSEC応答の例)
  • 4. Resolving (解決)
    • 4.1. EDNS Support (EDNSサポート)
    • 4.2. Signature Verification Support (署名検証サポート)
    • 4.3. Determining Security Status of Data (データのセキュリティステータスの決定)
    • 4.4. Configured Trust Anchors (設定済みトラストアンカー)
    • 4.5. Response Caching (応答のキャッシング)
    • 4.6. Handling of the CD and AD Bits (CDビットとADビットの処理)
    • 4.7. Caching BAD Data (不正データのキャッシング)
    • 4.8. Synthesized CNAMEs (合成CNAME)
    • 4.9. Stub Resolvers (スタブリゾルバ)
      • 4.9.1. Handling of the DO Bit (DOビットの処理)
      • 4.9.2. Handling of the CD Bit (CDビットの処理)
      • 4.9.3. Handling of the AD Bit (ADビットの処理)
  • 5. Authenticating DNS Responses (DNS応答の認証)
    • 5.1. Special Considerations for Islands of Security (セキュリティアイランドの特別な考慮事項)
    • 5.2. Authenticating Referrals (委任の認証)
    • 5.3. Authenticating an RRset with an RRSIG RR (RRSIG RRによるRRsetの認証)
      • 5.3.1. Checking the RRSIG RR Validity (RRSIG RRの有効性確認)
      • 5.3.2. Reconstructing the Signed Data (署名データの再構築)
      • 5.3.3. Checking the Signature (署名の確認)
      • 5.3.4. Authenticating a Wildcard Expanded RRset Positive Response (ワイルドカード展開RRset肯定応答の認証)
    • 5.4. Authenticated Denial of Existence (認証された非存在証明)
    • 5.5. Resolver Behavior When Signatures Do Not Validate (署名が検証されない場合のリゾルバの動作)
    • 5.6. Authentication Example (認証の例)
  • 6. IANA Considerations (IANAに関する考慮事項)
  • 7. Security Considerations (セキュリティに関する考慮事項)
  • 8. Acknowledgements (謝辞)
  • 9. References (参考文献)
    • 9.1. Normative References (規範的参考文献)
    • 9.2. Informative References (参考情報)

付録 (Appendices)

  • Appendix A. Signed Zone Example (署名済みゾーンの例)
  • Appendix B. Example Responses (応答の例)
    • B.1. Answer (回答)
    • B.2. Name Error (名前エラー)
    • B.3. No Data Error (データなしエラー)
    • B.4. Referral to Signed Zone (署名済みゾーンへの委任)
    • B.5. Referral to Unsigned Zone (未署名ゾーンへの委任)
    • B.6. Wildcard Expansion (ワイルドカード展開)
    • B.7. Wildcard No Data Error (ワイルドカードデータなしエラー)
    • B.8. DS Child Zone No Data Error (DS子ゾーンデータなしエラー)
  • Appendix C. Authentication Examples (認証の例)
    • C.1. Authenticating an Answer (回答の認証)
      • C.1.1. Authenticating the Example DNSKEY RR (サンプルDNSKEY RRの認証)
    • C.2. Name Error (名前エラー)
    • C.3. No Data Error (データなしエラー)
    • C.4. Referral to Signed Zone (署名済みゾーンへの委任)
    • C.5. Referral to Unsigned Zone (未署名ゾーンへの委任)
    • C.6. Wildcard Expansion (ワイルドカード展開)
    • C.7. Wildcard No Data Error (ワイルドカードデータなしエラー)
    • C.8. DS Child Zone No Data Error (DS子ゾーンデータなしエラー)

本文書は、DNSSEC三部作の一部です:

  • RFC 4033 - DNSセキュリティの導入と要件
  • RFC 4034 - DNSセキュリティ拡張のリソースレコード
  • RFC 4035 - DNSセキュリティ拡張のプロトコル変更 (本文書)

参照:

  • RFC 5155 - DNSセキュリティ (DNSSEC) ハッシュ化された認証済み非存在証明
  • RFC 6840 - DNSセキュリティの明確化と実装ノート
  • RFC 8624 - DNSSECのアルゴリズム実装要件と使用ガイダンス
最終更新