7. Security Considerations (セキュリティに関する考慮事項)
この文書では、DNSセキュリティ拡張機能が公開鍵暗号化を使用してDNSリソースレコードセットに署名し、認証する方法について説明しています。DNSSECに関連する用語と一般的なセキュリティに関する考慮事項については、[RFC4033]を参照してください。DNSSECリソースレコードタイプに固有の考慮事項については、[RFC4034]を参照してください。
DNSクエリメッセージでCDビットを設定したり、DNS応答メッセージでADビットを設定したりできるアクティブな攻撃者は、これらのビットを使用して、DNSSECがセキュリティ非対応再帰モードリゾルバに提供しようとする保護を無効にすることができます。このため、セキュリティ対応再帰モードリゾルバによるこれらの制御ビットの使用には、セキュアチャネルが必要です。詳細については、セクション3.2.2および4.9を参照してください。
この文書で説明されているプロトコルは、DNSSECの利点をセキュリティ非対応スタブリゾルバに拡張しようと試みています。ただし、検証失敗からの回復は特定のアプリケーション固有である可能性が高いため、DNSSECがスタブリゾルバに提供する機能は不十分である可能性があります。セキュリティ対応再帰的ネームサーバーの運用者は、ローカル検証ポリシーを選択する際に、そのサービスを使用するアプリケーションの動作に細心の注意を払う必要があります。そうしないと、再帰的ネームサーバーがサポートする予定のクライアントへのサービスを誤って拒否する結果になる可能性があります。