Describe DNS/DNSSEC/DS here.
1. DS レコード
DNSKEY 公開鍵のダイジェスト値であり、上位サーバに登録するものである。 (RFC 4509)
- DNSKEY zone keyの正当性、つまり信頼の連鎖を確認するためのもの。
Delegation Signer (DS) RRタイプ(タイプコード43)
以下の説明はあいまいである。(公開鍵の部分) http://ja.wikipedia.org/wiki/DNS_Security_Extensions
DNSSECは、委譲先のホスト名に加えて、そのゾーンで使われる公開鍵のダイジェスト値を追加のリソースレコード(DSレコード)として提供する。 クライアントは委譲先のDNSKEYレコードから公開鍵を取得し、そのダイジェスト値をDSレコードと比較することによって、正当な鍵であるか確認できる。
2. DS を取り次ぐレジストラが少ない
JPRSページにあるレジストラ紹介ページを参照してください。
2.1. DS 登録ドメイン数
JPでDSレコードを登録しているドメインを調べてみました。 -- ToshinoriMaeno 2011-02-25 00:52:56
- 半年後、一年後に再調査してみます。
グループ |
サンプル数 |
2011-02-24 |
03-21 |
04-25 |
5-26 |
6-25 |
2012-05 |
2015-03 |
2016-02 |
*.go.jp |
400弱 |
0 |
0 |
0 |
0 |
0 |
0 |
- |
5 |
*.ac.jp |
1700 |
0 |
0 |
0 |
2 |
3 |
|||
*.ad.jp |
188 |
3 |
3 |
3 |
3 |
3 |
|||
*.ne.jp |
7000 |
5 |
7 |
8 |
8 |
8 |
13 |
||
*.or.jp |
8300 |
4 |
4 |
4 |
4 |
4 |
|||
*.co.jp |
46000 |
25 |
25 |
23 |
23 |
24 |
37 |
36 |
38 |
汎用jp |
37000 |
17 |
17 |
18 |
17 |
17 |
co.jp が多いのはsannet.ad.jp を使っているから。(2011年)
- 増えたのはpeople.co.jp を使っているところ。(2012年)
これらふたつだけで、25ドメインある。-- ToshinoriMaeno 2012-05-01 10:52:28
jpdirect.jp, jprs.jp, dnslab.jp なんてところは当然として、 sra.jp, fujitv.jp(iij.ad.jp), tamagawa.jp などが目をひいた。
RFC 4034 より
5. The DS Resource Record The DS Resource Record refers to a DNSKEY RR and is used in the DNS DNSKEY authentication process. A DS RR refers to a DNSKEY RR by storing the key tag, algorithm number, and a digest of the DNSKEY RR. Note that while the digest should be sufficient to identify the public key, storing the key tag and key algorithm helps make the identification process more efficient. By authenticating the DS record, a resolver can authenticate the DNSKEY RR to which the DS record points. The key authentication process is described in [RFC4035].
5.2. Processing of DS RRs When Validating Responses The DS RR links the authentication chain across zone boundaries, so the DS RR requires extra care in processing. The DNSKEY RR referred to in the DS RR MUST be a DNSSEC zone key. The DNSKEY RR Flags MUST have Flags bit 7 set. If the DNSKEY flags do not indicate a DNSSEC zone key, the DS RR (and the DNSKEY RR it references) MUST NOT be used in the validation process.
RFC 4035 2.4. Including DS RRs in a Zone
The DS resource record establishes authentication chains between DNS zones. A DS RRset SHOULD be present at a delegation point when the child zone is signed. The DS RRset MAY contain multiple records, each referencing a public key in the child zone used to verify the RRSIGs in that zone. All DS RRsets in a zone MUST be signed, and DS RRsets MUST NOT appear at a zone's apex. A DS RR SHOULD point to a DNSKEY RR that is present in the child's apex DNSKEY RRset, and the child's apex DNSKEY RRset SHOULD be signed by the corresponding private key. DS RRs that fail to meet these conditions are not useful for validation, but because the DS RR and its corresponding DNSKEY RR are in different zones, and because the DNS is only loosely consistent, temporary mismatches can occur. The TTL of a DS RRset SHOULD match the TTL of the delegating NS RRset (that is, the NS RRset from the same zone containing the DS RRset). Construction of a DS RR requires knowledge of the corresponding DNSKEY RR in the child zone, which implies communication between the child and parent zones. This communication is an operational matter not covered by this document.
「DNS RRをどう作るかは運用の問題である。」
- NS レコードによる委譲すらまともでない現状では、DS作成がうまく機能するとは思えない。