1. DNSSEC/用語
| /DS /ENT /InsecureDelegationProof /NSEC /Non-Existence_Proofs /Opt-Out /cdflag /trust_anchor /validating-resolvers /キャッシュサーバ /スタブリゾルバ /バリデータ /鍵の更新 |
1.1. RFC4641
ZSK: Zone Signing Key; used to sign the data within the zone
KSK: Key Signing Key; used to sign the ZSK and to creat the
- "Secure Entry Point" for the zone
KSK should be rolled once a year
ZSK should be rolled every 3 month
"DS" RR : parent zone must now insert a DS RR (to create a chain-of-trust)
- 渡し方はそれぞれ。細心の注意が必要。
http://www.asmusic.jp/ASHARD/score/yu-oishi/asscore.cgi/20100718_1
- この説明が簡潔
ゾーンファイルの各レコードをZSKで署名、 ZSKをKSKで署名して KSKの公開鍵のハッシュを上流サーバにDSレコードとして登録しておくそうです。 上流サーバにDSレコードが登録されていればDNSSEC対応とみなされ、 上流サーバのDSレコードでKSKの公開鍵を検証し、 KSKでZSKを検証し、 ZSKで実際の各レコードを検証するという仕組みになります。
1.2. validate other zones
"trust anchors" --> signed DNS root
additional trust anchors (JPなど、持っている方がよさそう。)
Trust anchors must be obtained by trusted means. (DNSはだめ)
1.3. 信頼の連鎖(chain of trust)
信頼という言葉は間違いではないか。
- お上のいうことを信じろというに等しい。
- せめて、保証か信任の連鎖くらいの訳にしておけばよかった。 信託の方がより内容に近い。