6. Opt-Out

6. Opt-Out

この仕様では, [RFC4033], [RFC4034] および [RFC4035] と同様に, 委任ポイントの NS RRSet は署名されず, DS RRSet を伴う場合があります。Opt-Out ビットがクリアされている場合, 子ゾーンのセキュリティステータスは, この DS RRSet の存在または不在によって決定され, 委任のハッシュ化されたオーナー名の署名された NSEC3 RR によって暗号化的に証明されます。Opt-Out フラグを設定することで, これを変更し, 安全でない委任が署名されたゾーン内に, 委任のハッシュ化されたオーナー名に対応する NSEC3 RR なしで存在することを許可します。

Opt-Out NSEC3 RR は, 委任のオーナー名または "次近接" 名のハッシュが NSEC3 RR のオーナー名と次のハッシュ化されたオーナー名の間にある場合, 委任をカバーすると言われます。

Opt-Out NSEC3 RR は, カバーする可能性のある安全でない委任の存在または非存在を主張しません。これにより, NSEC3 RR チェーン内の RR を再計算または再署名することなく, これらの委任を追加または削除できます。しかし, Opt-Out NSEC3 RR は, 他の権威的な RRSet の (非) 存在を主張します。

Opt-Out NSEC3 RR は, 安全でない委任と同じ元のオーナー名を持つ場合があります (MAY)。この場合, 委任は Type Bit Maps フィールドに DS ビットがないことによって安全でないことが証明され, 署名された NSEC3 RR は委任の存在を主張します。

Opt-Out を使用するゾーンには, Opt-Out NSEC3 RR と非 Opt-Out NSEC3 RR の混合が含まれる場合があります (MAY)。NSEC3 RR が Opt-Out でない場合, それと NSEC3 RDATA の次のハッシュ化されたオーナー名によって示される名前の間に, 安全でない委任 (または他の RR) のハッシュ化されたオーナー名があってはなりません (MUST NOT)。Opt-Out の場合, 安全でない委任のハッシュ化されたオーナー名またはハッシュ化された "次近接" 名のみをカバーしなければなりません (MUST)。

Opt-Out フラグが署名, 提供, および応答の検証に与える影響については, 以下のセクションで説明されています。