1. DNSSEC/用語

/検証


1.1. RFC4641

ZSK: Zone Signing Key; used to sign the data within the zone

KSK: Key Signing Key; used to sign the ZSK and to creat the

KSK should be rolled once a year

ZSK should be rolled every 3 month


"DS" RR : parent zone must now insert a DS RR (to create a chain-of-trust)

http://www.asmusic.jp/ASHARD/score/yu-oishi/asscore.cgi/20100718_1

ゾーンファイルの各レコードをZSKで署名、
ZSKをKSKで署名して
KSKの公開鍵のハッシュを上流サーバにDSレコードとして登録しておくそうです。

上流サーバにDSレコードが登録されていればDNSSEC対応とみなされ、
上流サーバのDSレコードでKSKの公開鍵を検証し、
KSKでZSKを検証し、
ZSKで実際の各レコードを検証するという仕組みになります。


1.2. validate other zones

"trust anchors" --> signed DNS root

additional trust anchors (JPなど、持っている方がよさそう。)

Trust anchors must be obtained by trusted means. (DNSはだめ)

1.3. 信頼の連鎖(chain of trust)

信頼という言葉は間違いではないか。