この文書はRFC3755の日本語訳(和訳)です。 この文書の翻訳内容の正確さは保障できないため、 正確な知識や情報を求める方は原文を参照してください。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、 誤りの指摘は適切です。 この文書の配布は元のRFC同様に無制限です。
Network Working Group S. Weiler
Request for Comments: 3755 SPARTA, Inc.
Updates: 3658, 2535 May 2004
Category: Standards Track
Legacy Resolver Compatibility for Delegation Signer (DS)
委任署名(DS)の旧式なリゾルバ互換性
Status of this Memo
この文書の状態
This document specifies an Internet standards track protocol for the
Internet community, and requests discussion and suggestions for
improvements. Please refer to the current edition of the "Internet
Official Protocol Standards" (STD 1) for the standardization state
and status of this protocol. Distribution of this memo is unlimited.
この文書はインターネット共同体のためのインターネット標準化作業中のプ
ロトコルを指定して、そして改良のために議論と提案を求めます。標準化状
態とこのプロトコル状態は「インターネット公式プロトコル標準」(STD
1)の現在の版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2004). All Rights Reserved.
Abstract
概要
As the DNS Security (DNSSEC) specifications have evolved, the syntax
and semantics of the DNSSEC resource records (RRs) have changed.
Many deployed nameservers understand variants of these semantics.
Dangerous interactions can occur when a resolver that understands an
earlier version of these semantics queries an authoritative server
that understands the new delegation signer semantics, including at
least one failure scenario that will cause an unsecured zone to be
unresolvable. This document changes the type codes and mnemonics of
the DNSSEC RRs (SIG, KEY, and NXT) to avoid those interactions.
DNSセキュリティ(DNSSEC)仕様が進展するにつれて、DNSSE
C資源レコード(RR)の構文と語義は変化しました。多くの配置されたネー
ムサーバがこれらの様々な意味を理解します。古い意味を理解するリゾルバ
が新しい署名委任の意味を問合せる時に、少なくとも安全でないゾーンが解
決できなくなる1つの失敗のシナリオがある、危険な対話が生じます。この
文書はそれらの対話を避けるためのDNSSEC資源レコード(RR)のタイ
プコードと名称(SIG、KEY、NXT)を変えます。
1. Introduction
1. はじめに
The DNSSEC protocol has been through many iterations whose syntax and
semantics are not completely compatible. This has occurred as part
of the ordinary process of proposing a protocol, implementing it,
testing it in the increasingly complex and diverse environment of the
Internet, and refining the definitions of the initial Proposed
Standard. In the case of DNSSEC, the process has been complicated by
DNS's criticality and wide deployment and the need to add security
while minimizing daily operational complexity.
DNSSECプロトコルは構文と語義の互換性が完全できない反復でした。
これは、プロトコル提案と実装とインターネットのますます複雑で多様な環
境でのテストと初期の標準提案の定義の改良の一般的標準提案手順の一部の
結果として起こりました。DNSSECの場合、手順はDNSの重要性と広
い実装と、毎日の操作の複雑さを最小にしながら、セキュリティを加える必
要性によって複雑にされました。
A weak area for previous DNS specifications has been lack of detail
in specifying resolver behavior, leaving implementors largely on
their own to determine many details of resolver function. This,
combined with the number of iterations the DNSSEC specifications have
been through, has resulted in fielded code with a wide variety of
behaviors. This variety makes it difficult to predict how a protocol
change will be handled by all deployed resolvers. The risk that a
change will cause unacceptable or even catastrophic failures makes it
difficult to design and deploy a protocol change. One strategy for
managing that risk is to structure protocol changes so that existing
resolvers can completely ignore input that might confuse them or
trigger undesirable failure modes.
前のDNS仕様の弱い部分はリゾルバの動作の指定で、主に独立な実装者に
リゾルバの機能の多くの詳細の決定を委ねる、詳細の欠如でした。これは、
DNSSEC仕様の繰り返しと混ざり、多種多様な動作のコードをもたらし
ました。この多種多様さはプロトコル変更がすべての配置されたリゾルバに
どう処理されるか予測することを難しくします。変更により、受け入れ難い
かさらに大惨事の障害を起こすというリスクは、プロトコル変更を設計し展
開することを難しくします。そのリスクを処理する1つの戦略は、既存のリ
ゾルバが混乱するか望ましくない失敗を引き起こすかもしれない入力を完全
に無視することができるように、プロトコル構造の変更です。
This document addresses a specific problem caused by Delegation
Signer's (DS) [RFC3658] introduction of new semantics for the NXT RR
that are incompatible with the semantics in [RFC2535]. Answers
provided by DS-aware servers can trigger an unacceptable failure mode
in some resolvers that implement RFC 2535, which provides a great
disincentive to sign zones with DS. The changes defined in this
document allow for the incremental deployment of DS.
この文書は委任署名(DS)[RFC3658]導入により、NXT資源レコードにも
たらされた[RFC2535]と互換性のない新しい意味によって起こされた、特定の
問題を扱います。DS対応サーバから供給された応答はRFC2535を実
装するあるリゾルバで受け入れ難い失敗状態を引き起こし、これはDSのあ
る署名ゾーンのを妨げます。この文書で定義された変更はDSの逐次的な展
開を考慮します。
1.1. Terminology
1.1. 用語
In this document, the term "unsecure delegation" means any delegation
for which no DS record appears at the parent. An "unsecure referral"
is an answer from the parent containing an NS RRset and a proof that
no DS record exists for that name.
この文書で、用語「非安全委任」はDSレコードが親に現われない委任を意味
します。「非安全照会」は、NS資源レコード集合と、その名前のDSレコー
ドが存在しない証明を含む、親からの応答です。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
document are to be interpreted as described in [RFC2119].
この文書のキーワードは"MUST"と"MUST NOT"と"REQUIRED"と"SHALL"と"SHALL
NOT"と"SHOULD"と"SHOULD NOT"と"RECOMMENDED"と"MAY"と"OPTIONAL"は
[RFC2119]で記述されるように解釈されるはずです。
1.2. The Problem
1.2. 問題
Delegation Signer (DS) introduces new semantics for the NXT RR that
are incompatible with the semantics in RFC 2535. In RFC 2535, NXT
records were only required to be returned as part of a non-existence
proof. With DS, an unsecure referral returns, in addition to the NS,
a proof of non-existence of a DS RR in the form of an NXT and
SIG(NXT). RFC 2535 didn't specify how a resolver was to interpret a
response with RCODE=0, AA=0, and both an NS and an NXT in the
authority section. Some widely deployed 2535-aware resolvers
interpret any answer with an NXT as a proof of non-existence of the
requested record. This results in unsecure delegations being
invisible to 2535-aware resolvers and violates the basic
architectural principle that DNSSEC must do no harm -- the signing of
zones must not prevent the resolution of unsecured delegations.
委任署名者(DS)は、RFC2535の意味と非互換なNXT資源レコー
ドの新しい意味を導入します。RFC2535で、NXTレコードは非存在
の証明の一部としてだけ返されることが要求されました。DSで、非安全照
会がNS以外に、NXTと署名(NXT)の形で、DS資源レコードの非実
在の証明を返します。RFC2535はリゾルバがRCODE=0で、AA=0で、NS
とNXTの両方が権威部にある応答を翻訳するか明示しませんでした。ある
広く配置された2535対応リゾルバがNXTを伴う応答を求められたレコード
の非実在の証明と解釈します。これは非安全委任が2535対応リゾルバに
見えないという結果になり、そしてDNSSECが害をしてはならないとい
う基本的な構築原則に違反します−ゾーンの署名は非安全委任の解決を妨げ
てはなりません。
2. Possible Solutions
2. 可能な解決策
This section presents several solutions that were considered.
Section 3 describes the one selected.
この章は考慮されたいくつかの解決策を示します。3章が選択された解決策
を記述します。
2.1. Change SIG, KEY, and NXT type codes
2.1. 署名と鍵とNXTの種別コード変更
To avoid the problem described above, legacy (RFC2535-aware)
resolvers need to be kept from seeing unsecure referrals that include
NXT records in the authority section. The simplest way to do that is
to change the type codes for SIG, KEY, and NXT.
上記の問題を避けるために、旧式(RFC2535対応)リゾルバがが権威
章でNXTレコードを含む非安全照会を見ることを阻止される必要がありま
す。それをする最も単純な方法は署名と鍵とNXTの種別コードを変えるこ
とです。
The obvious drawback to this is that new resolvers will not be able
to validate zones signed with the old RRs. This problem already
exists, however, because of the changes made by DS, and resolvers
that understand the old RRs (and have compatibility issues with DS)
are far more prevalent than 2535-signed zones.
この明白な欠点は、新しいリゾルバが古い資源レコードと一緒に署名された
ゾーンを有効にすることが可能でないであろうということです。しかしなが
ら、この問題はDSによってされた変更のためにすでに存在します、そして
古い資源レコードを理解し(そしてDS互換性問題を持つ)リゾルバは25
35署名ゾーンよりはるかに存在します。
2.2. Change a subset of type codes
2.2. タイプコードの一部を変更
The observed problem with unsecure referrals could be addressed by
changing only the NXT type code or another subset of the type codes
that includes NXT. This has the virtue of apparent simplicity, but
it risks introducing new problems or not going far enough. It's
quite possible that more incompatibilities exist between DS and
earlier semantics. Legacy resolvers may also be confused by seeing
records they recognize (SIG and KEY) while being unable to find NXTs.
Although it may seem unnecessary to fix that which is not obviously
broken, it's far cleaner to change all of the type codes at once.
This will leave legacy resolvers and tools completely blinded to
DNSSEC -- they will see only unknown RRs.
非安全照会における観察された問題は、NXT種別コードあるいはNXTを
含む他の種別コードの一部だけを変えることにで扱えます。これは外見上明
白な単純さの長所がありますが、あえて新しい問題を導入するか、あるいは
十分でありません。DSと以前の意味の間にもっと多くの不適合が存在する
ことは非常にありえます。旧式なリゾルバが、NXTを見ることが不可能で
あるが、認識するレコード(署名と鍵)を見ることで同じく困惑しているか
もしれません。明らかに壊れていないのに修理することは不必要に思われる
かもしれないけれども、すぐに種別コードのすべてを変えるのははるかにき
れいです。これはDNSSECをわからない旧式なリゾルバとツールをその
ままにするでしょう−それらはただ未知の資源レコードを見るだけでしょう。
2.3. Replace the DO bit
2.3. DOビットの置換え
Another way to keep legacy resolvers from ever seeing DNSSEC records
with DS semantics is to have authoritative servers only send that
data to DS-aware resolvers. It's been proposed that assigning a new
EDNS0 flag bit to signal DS-awareness (tentatively called "DA"), and
having authoritative servers send DNSSEC data only in response to
queries with the DA bit set, would accomplish this. This bit would
presumably supplant the DO bit described in [RFC3225].
旧式リゾルバがDSの意味のDNSSECレコードを見ることを阻止するも
う1つの方法は、正式なサーバがDS対応リゾルバだけにデータを送ること
です。DS対応を示す新しいEDNSOフラグ(試験的に「DA」と呼ばれ
る)を割り当て、正式サーバがDAビットを設定された問合せにだけDNS
SECデータを送るようにすることで、これを達成することが提案されまし
た。このビットは多分[RFC3225]で記述したDOビットを置き換えるでしょう。
This solution is sufficient only if all 2535-aware resolvers zero out
EDNS0 flags that they don't understand. If one passed through the DA
bit unchanged, it would still see the new semantics, and it would
probably fail to see unsecure delegations. Since it's impractical to
know how every DNS implementation handles unknown EDNS0 flags, this
is not a universal solution. It could, though, be considered in
addition to changing the RR type codes.
この解決策は、すべての2535対応リゾルバが理解しないEDNSOフラ
グをゼロで設定する場合に限り十分です。もしDAビット変化させずに通過
させたら、これは新しい意味を見て、恐らく非安全委任の参照に失敗するで
しょう。すべてのDNS実装の未知のEDNSOフラグの処理を知るのは非
実用的であるので、これは普遍的な解決策ではありません。けれども、資源
レコード種別コードを変えることに加えて考慮ができます。
2.4. Increment the EDNS version
2.4. EDNSバージョンを増加
Another possible solution is to increment the EDNS version number as
defined in [RFC2671], on the assumption that all existing
implementations will reject higher versions than they support, and
retain the DO bit as the signal for DNSSEC awareness. This approach
has not been tested.
他の可能な解決策は、すべての既存の実装はサポートするより高いバージョ
ンを拒絶するとの仮定で、DOビットをDNSSEC対応としたまま
[RFC2671]で定義されたEDNSバージョン番号を増加させることです。この
方法は試されませんでした。
2.5. Do nothing
2.5. 何もしない
There is a large deployed base of DNS resolvers that understand
DNSSEC as defined by the standards track RFC 2535 and [RFC2065] and,
due to under specification in those documents, interpret any answer
with an NXT as a non-existence proof. So long as that is the case,
zone owners will have a strong incentive to not sign any zones that
contain unsecure delegations, lest those delegations be invisible to
such a large installed base. This will dramatically slow DNSSEC
adoption.
標準トラックRFC2535と[RFC2065]で定義されるDNSSECを理解し
て、それらの文書の仕様下でNXTを含む応答を非存在の証明として理解す
る、DNSリゾルバ実装が多数あります。それが本当である限り、ゾーン所
有者が、委任を多数の実装で見えなすることがないように、非安全委任を含
むゾーンに署名をしない強い誘因を持つでしょう。これは劇的にDNSSE
C採用を遅くするでしょう。
Unfortunately, without signed zones there's no clear incentive for
operators of resolvers to upgrade their software to support the new
version of DNSSEC, as defined in RFC 3658. Historical data suggests
that resolvers are rarely upgraded, and that old nameserver code
never dies.
不幸にも、署名されたゾーンがなければリゾルバオペレータが、RFC36
58で定義されるDNSSECの新しいバージョンをサポートするためにソ
フトウェアを更新する明確な誘因がありません。歴史的に見て、リゾルバが
めったに更新されず,そしてその古いネームサーバ規則は決して死にません。
Rather than wait years for resolvers to be upgraded through natural
processes before signing zones with unsecure delegations, addressing
this problem with a protocol change will immediately remove the
disincentive for signing zones and allow widespread deployment of
DNSSEC.
非安全委任の存在するゾーンに署名する前に、自然にリゾルバが更新される
のを待つより、このプロトコル変更における問題を扱うことはゾーン署名の
障害を除き、DNSSECの広範囲の展開を許すでしょう。
3. Protocol changes
3. プロトコル変更
This document changes the type codes of SIG, KEY, and NXT. This
approach is the cleanest and safest of those discussed above, largely
because the behavior of resolvers that receive unknown type codes is
well understood. This approach has also received the most testing.
この文書は署名と鍵とNXTの種別コードを変えます。この方法は、未知の
種別コードを受け取るリゾルバの動作がかなり理解されるから、上に論じら
れた中で最もきれいで最も安全です。この方法は最も多くのテストを受けま
した。
To avoid operational confusion, it's also necessary to change the
mnemonics for these RRs. DNSKEY will be the replacement for KEY,
with the mnemonic indicating that these keys are not for application
use, per [RFC3445]. RRSIG (Resource Record SIGnature) will replace
SIG, and NSEC (Next SECure) will replace NXT. These new types
completely replace the old types, except that SIG(0) [RFC2931] and
TKEY [RFC2930] will continue to use SIG and KEY.
運用上の混乱を避けるために、これらの資源レコードの名称を変更する事も
必要です。DNSKEYが鍵の新しい名前で、これらの鍵が[RFC3445]のアプリケー
ションの使用のためでないことを示します。RRSIG(資源レコード署名)が署
名の新しい名前で、NSEC(次の安全)がNXTの新しい名前です。SIG(0)
[RFC2931]と処理鍵[RFC2930]が署名と鍵を使い続ける以外、これらの新しい
種別は完全に古い種別を置き換えます。
The new types will have exactly the same syntax and semantics as
specified for SIG, KEY, and NXT in RFC 2535 and RFC 3658 except for
the following:
新しいタイプは、以下を除き、RFC2535とRFC3658で署名と鍵
とNXTに指定されるのと正確に同じ構文論と意味を持つでしょう:
1) Consistent with [RFC3597], domain names embedded in RRSIG and NSEC
RRs MUST NOT be compressed,
1) [RFC3597]に準じて、RRSIGとNSEC資源レコードの埋め込みのドメイン名が
圧縮されてはなりません(MUST NOT)。
2) Embedded domain names in RRSIG and NSEC RRs are not downcased for
purposes of DNSSEC canonical form and ordering nor for equality
comparison, and
2) RRSIGとNSEC資源レコードの埋め込みのドメイン名が、DNSSECの正
規形式と同一性比較のため、小文字にされてはなりません、そして。
3) An RRSIG with a type-covered field of zero has undefined
semantics. The meaning of such a resource record may only be
defined by IETF Standards Action.
3) 種別カバーフィールドがゼロのRRSIGの意味は不確定です。このような資
源レコードの意味はIETF標準化行動でだけ定義されるかもしれません。
If a resolver receives the old types, it SHOULD treat them as unknown
RRs and SHOULD NOT assign any special meaning to them or give them
any special treatment. It MUST NOT use them for DNSSEC validations
or other DNS operational decision making. For example, a resolver
MUST NOT use DNSKEYs to validate SIGs or use KEYs to validate RRSIGs.
If SIG, KEY, or NXT RRs are included in a zone, they MUST NOT receive
special treatment. As an example, if a SIG is included in a signed
zone, there MUST be an RRSIG for it. Authoritative servers may wish
to give error messages when loading zones containing SIG or NXT
records (KEY records may be included for SIG(0) or TKEY).
もしリゾルバが古いタイプを受け取るなら、それらを未知の資源レコードと
扱うべきで(SHOULD)、それらに特別な意味を割り当てるか特別な待遇を与え
るべきではありません(SHOULD NOT)。DNSSEC検証や他のDNS運用上
の決断にそれらを使ってはなりません(MUST NOT)。例えば、リゾルバがSIG検
証にDNSKEYを使ったり、RRSIG検証にKEYを使ってはなりません(MUST NOT)。
もしSIGやKEYやNXT資源レコードがゾーンに含まれる場合、特別な待遇を受け
てはなりません(MUST NOT)。例えば、もしSIGが署名ゾーンに含められるなら、
RRSIGがあるに違いありません。権威サーバが、SIGやNXTレコード(KEYレコー
ドがSIG(0)やTKEYのために含まれるかもしれない)を含むゾーンを読み込
む際に、エラーメッセージを与えることを望むかもしれません。
As a clarification to previous documents, some positive responses,
particularly wildcard proofs and unsecure referrals, will contain
NSEC RRs. Resolvers MUST NOT treat answers with NSEC RRs as negative
answers merely because they contain an NSEC.
前の文書の明確化のため、ある積極的応答で、特にワイルドカード証明と非
安全照会、はNSEC資源レコードを含んでいるでしょう。リゾルバは、NSECを
含んでいるという理由だけで、NSEC資源レコードと一緒にある答えを否定的
な答えとして扱ってはなりません(MUST NOT)。
4. IANA Considerations
4. IANA考慮
4.1. DNS Resource Record Types
4.1. DNS資源レコードタイプ
This document updates the IANA registry for DNS Resource Record Types
by assigning types 46, 47, and 48 to the RRSIG, NSEC, and DNSKEY RRs,
respectively.
この文書はRRSIGとNSECとDNSKEY資源レコードに、それぞれ種別46と47と
48を割り当てることで、DNS資源レコード種別のIANA登記所を更新
します。
Types 24 and 25 (SIG and KEY) are retained for SIG(0) [RFC2931] and
TKEY [RFC2930] use only.
種別24と25(SIGとKEY)がSIG(0)[RFC2931]と処理鍵[RFC2930]処
理鍵での使用のみのために維持されます。
Type 30 (NXT) should be marked as Obsolete.
種別30(NXT)が時代遅れと印しを付けられるべきです。
4.2. DNS Security Algorithm Numbers
4.2. DNSセキュリティアルゴリズム番号
To allow zone signing (DNSSEC) and transaction security mechanisms
(SIG(0) and TKEY) to use different sets of algorithms, the existing
"DNS Security Algorithm Numbers" registry is modified to include the
applicability of each algorithm. Specifically, two new columns are
added to the registry, showing whether each algorithm may be used for
zone signing, transaction security mechanisms, or both. Only
algorithms usable for zone signing may be used in DNSKEY, RRSIG, and
DS RRs. Only algorithms usable for SIG(0) and/or TSIG may be used in
SIG and KEY RRs.
ゾーン署名(DNSSEC)と処理セキュリティメカニズム(SIG(0)
と処理鍵)で異なるアルゴリズムを許すために、既存の「DNSセキュリティ
アルゴリズム番号」登記所は、それぞれのアルゴリズムの適用性を含むため
に修正されます。特に、それぞれのアルゴリズムがゾーン署名と処理セキュ
リティメカニズムで使用できるかを示す、2つの新しい列が加えられます。
ただゾーン署名に有用なだけのアルゴリズムが、DNSKEYとRRSIGとDS資源レコー
ドで使われるかもしれません。ただSIG(0)とTSIGでだけ有用なアルゴリズム
がSIGとKEY資源レコードで使われるかもしれません。
All currently defined algorithms except for Indirect (algorithm 252)
remain usable for transaction security mechanisms. Only RSA/SHA-1
[RFC3110], DSA/SHA-1 [RFC2536], and private algorithms (types 253 and
254) may be used for zone signing. Note that the registry does not
contain the requirement level of each algorithm, only whether or not
an algorithm may be used for the given purposes. For example,
RSA/MD5, while allowed for transaction security mechanisms, is NOT
RECOMMENDED, per [RFC3110].
非直接(アルゴリズム252)以外のすべての現在定義されたアルゴリズム
は処理セキュリティメカニズムで有用なままでいます。ただRSA/SHA−
1[RFC3110]とDSA/SHA−1[RFC2536]とプライベートのアルゴリズム
(種別253と254)だけがゾーン署名に使われるかもしれません。登記
所は、アルゴリズムが所定の目的のために使われるか否かだけを含み、それ
ぞれのアルゴリズムの要求レベルを含んでいないことに注意を払ってくださ
い。例えば、RSA/MD5は、処理セキュリティメカニズムに割り当てら
れるが、[RFC3110]で勧められません(NOT RECOMMENDED)。
Additionally, the presentation format algorithm mnemonics from
[RFC2535] Section 7 are added to the registry. This document assigns
RSA/SHA-1 the mnemonic RSASHA1.
さらに、[RFC2535]の7章からのプレゼンテーションフォーマットアルゴリズ
ムの名称が登記所に加えられます。この書類はRSA/SHA−1の名称に
RSASHA1を割り当てます。
As before, assignment of new algorithms in this registry requires
IETF Standards Action. Additionally, modification of algorithm
mnemonics or applicability requires IETF Standards Action. Documents
defining a new algorithm must address the applicability of the
algorithm and should assign a presentation mnemonic to the algorithm.
前と同様に、この登記所での新しいアルゴリズムの割当てがIETF標準化
行動を必要とします。さらに、アルゴリズム名称や適用性の修正がIETF
標準化行動を必要とします。新しいアルゴリズムを定義している文書はアル
ゴリズムの適用性を扱わなくてはならなくて、アルゴリズムに名称を割り当
てるべきです。
4.3. DNSKEY Flags
4.3. DNSKEYフラグ
Like the KEY resource record, DNSKEY contains a 16-bit flags field.
This document creates a new registry for the DNSKEY flags field.
KEY資源レコードのように、DNSKEYは16ビットのフラグフィールドを含んで
います。この文書はDNSKEYのフラグフィールドの新しい登記所を作ります。
Initially, this registry only contains an assignment for bit 7 (the
ZONE bit). Bits 0-6 and 8-15 are available for assignment by IETF
Standards Action.
初めに、この登記所はビット7(ゾーンビット)の割当だけを含んでいるだ
けです。ビット0-6と8-15はIETF標準化行動でだけ割当て利用可能
です。
4.4. DNSKEY Protocol Octet
4.4. DNSKEYプロトコルオクテット
Like the KEY resource record, DNSKEY contains an eight bit protocol
field. The only defined value for this field is 3 (DNSSEC). No
other values are allowed, hence no IANA registry is needed for this
field.
KEY資源レコードのように、DNSKEYは8ビットのプロトコルフィールドを含ん
でいます。唯一のこのフィールドのための定義された値は3(DNSSEC)
です。他のどのような値も許されません、それ故IANA登記所がこのフィー
ルドに必要とされません。
5. Security Considerations
5. セキュリティの考察
The changes introduced here do not materially affect security. The
implications of trying to use both new and legacy types together are
not well understood, and attempts to do so would probably lead to
unintended and dangerous results.
ここで紹介された変更は本質的にセキュリティに影響を与えません。新旧の
種別を一緒に使おうとする意味はうまく理解されません、そしてそうする試
みが恐らく思いがけない、そして危険な結果に導くでしょう。
Changing type codes will leave code paths in legacy resolvers that
are never exercised. Unexercised code paths are a frequent source of
security holes, largely because those code paths do not get frequent
scrutiny.
種別コードを変えることは旧式リゾルバで決して使われないコードパスを残
すでしょう。予期しないコードパスは、それらのコードパスが頻繁な精査を
されないことにより、セキュリティ・ホールの原因になりやすいです。
Doing nothing, as described in section 2.5, will slow DNSSEC
deployment. While this does not decrease security, it also fails to
increase it.
2.5章で記述されるように、何もしないことはDNSSEC展開を遅くする
でしょう。これがセキュリティ管理を減少させないが、同時に増やし損ねます。
6. References
6. 参考文献
6.1. Normative References
6.1. 参照する参考文献
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2535] Eastlake, D., "Domain Name System Security Extensions", RFC
2535, March 1999.
[RFC2536] Eastlake, D., "DSA KEYs and SIGs in the Domain Name System
(DNS)", RFC 2536, March 1999.
[RFC2930] Eastlake, D., "Secret Key Establishment for DNS (TKEY RR)",
RFC 2930, September 2000.
[RFC2931] Eastlake, D., "DNS Request and Transaction Signatures
(SIG(0)s)", RFC 2931, September 2000.
[RFC3110] Eastlake, D., "RSA/SHA-1 SIGs and RSA KEYs in the Domain
Name System (DNS)", RFC 3110, May 2001.
[RFC3658] Gudmundsson, O., "Delegation Signer (DS) Resource Record
(RR)", RFC 3658, December 2003.
6.2. Informative References
6.2. 有益な参考文献
[RFC2065] Eastlake, 3rd, D. and C. Kaufman, "Domain Name System
Security Extensions", RFC 2065, January 1997.
[RFC2671] Vixie, P., "Extension Mechanisms for DNS (EDNS0)", RFC
2671, August 1999.
[RFC3225] Conrad, D., "Indicating Resolver Support of DNSSEC", RFC
3225, December 2001.
[RFC3445] Massey, D., and S. Rose, "Limiting the Scope of the KEY
Resource Record (RR)", RFC 3445, December 2002.
[RFC3597] Gustafsson, A., "Handling of Unknown DNS Resource Record
(RR) Types", RFC 3597, September 2003.
7. Acknowledgments
7. 謝辞
The changes introduced here and the analysis of alternatives had many
contributors. With apologies to anyone overlooked, those include:
Michael Graff, Johan Ihren, Olaf Kolkman, Mark Kosters, Ed Lewis,
Bill Manning, Paul Vixie, and Suzanne Woolf.
ここで紹介された変更と選択肢の分析は多くの貢献者がいます。見逃しがあ
ればすいませんが、以下を含みます:Michael GraffとJohan Ihrenと
Olaf KolkmanとMark KostersとEd LewisとBill ManningとPaul Vixieと
Suzanne Woolf。
Thanks to Jakob Schlyter and Mark Andrews for identifying the
incompatibility described in section 1.2.
1.2章で記述された不適合を識別することに対してJakob Schlyterと
Mark Andrewsに感謝します。
In addition to the above, the author would like to thank Scott Rose,
Olafur Gudmundsson, and Sandra Murphy for their substantive comments.
上記のほかに、著者は実質的なコメントに対してScott Roseと
Olafur GudmundssonとSandra Murphyに感謝します。
8. Author's Address
8. 著者のアドレス
Samuel Weiler
SPARTA, Inc.
7075 Samuel Morse Drive
Columbia, MD 21046
USA
EMail: weiler@tislabs.com
9. Full Copyright Statement
9. 著作権表示全文
Copyright (C) The Internet Society (2004). This document is subject
to the rights, licenses and restrictions contained in BCP 78, and
except as set forth therein, the authors retain all their rights.
著作権(C)インターネット学会(2004)。この文書はBCP78に含
まれる権利と許可と制限の適用を受け、そしてこの中に明らかにされる以外
は著者がすべての権利を維持します。
This document and the information contained herein are provided on an
"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれる情報はあるがままに供給されます、貢献者と貢献
者が代表するか貢献者を後援する組織(もしあれば)とインターネット学会
とインターネット技術標準化タスクフォースは、明確にも暗黙にも、この情
報の使用が権利の侵害しないことや商業利用や特別の目的への利用に適当で
ある事の保障を含め、全ての保証を拒否します。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any
Intellectual Property Rights or other rights that might be claimed to
pertain to the implementation or use of the technology described in
this document or the extent to which any license under such rights
might or might not be available; nor does it represent that it has
made any independent effort to identify any such rights. Information
on the procedures with respect to rights in RFC documents can be
found in BCP 78 and BCP 79.
この文書に記述された実装や技術に関して主張される知的財産権や他の権利の
正当性や範囲について、この様な権利の元でライセンスが利用可能か利用不
可能かの範囲について、IETFは何の立場もとりません;この様な権利を
認識する独立の調査をしたとは述べません。RFC文書の権利に関する手続
きの情報はBCP78とBCP79を見てください。
Copies of IPR disclosures made to the IETF Secretariat and any
assurances of licenses to be made available, or the result of an
attempt made to obtain a general license or permission for the use of
such proprietary rights by implementers or users of this
specification can be obtained from the IETF on-line IPR repository at
http://www.ietf.org/ipr.
IETF事務局に公開されたIPRの写しと、利用可能な許可証と、仕様書
の実装者や利用者によってされた一般的な許可書や許可を得るためにされた
試みの結果は、http://www.ietf.org/iprにあるIETFオンラインIPR
貯蔵庫で得られます。
The IETF invites any interested party to bring to its attention any
copyrights, patents or patent applications, or other proprietary
rights that may cover technology that may be required to implement
this standard. Please address the information to the IETF at ietf-
ipr@ietf.org.
IETFは興味を持った誰からでもこの標準を実行するのに必要な技術をカ
バーする著作権や特許や特許出願や他の所有権の注意を持ってくるように求
めます。どうかietf-ipr@ietf.orgのIETFに情報を伝えてください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the
Internet Society.
RFCエディタ機能のための資金供給が現在インターネット学会によって
供給されます。