DNSSEC/RFC4035/Section_5.2について、ここに記述してください。

5.2. 参照の認証 

   署名ゾーンの頂点にあるDNSKEY RRsetが一旦認証されたならば、DS RRsetを
   使用して署名子ゾーンの委任を認証することができるようになる。
   DS RRは、子ゾーンの頂点にあるDNSKEY RRset内のDNSKEY RRを特定し、また
   子ゾーンのDNSKEY RRの暗号ダイジェストを含む。強力な暗号ダイジェスト
   アルゴリズムを使用することにより、悪意を持った第三者がそのダイジェストと
   一致するDNSKEY RRを生成することが計算上不可能であることを保証する。
   したがって、ダイジェストを認証することにより、リゾルバはそのダイジェストに
   一致する子ゾーンのDNSKEY RRを認証することができる。次に、リゾルバは
   子ゾーンのDNSKEY RRを使用して、子ゾーンの頂点にあるDNSKEY RRset全てを
   認証することができる。

   委任に関するDS RRが与えられた場合、以下の条件が全て満たされれば
   子ゾーンの頂点にあるDNSKEY RRsetを認証することができる。

   ・DS RRは、親ゾーンの頂点にあるDNSKEY RRsetに含まれるDNSKEY RRによって
     既に認証済みである(セクション5.3参照)。


Arends, et al.              Standards Track                    [Page 26]

RFC 4035             DNSSEC Protocol Modifications            March 2005


   ・DS RR内のアルゴリズム値および鍵タグ値が、それぞれ子ゾーンの
     頂点にあるDNSKEY RRset内のDNSKEY RRのアルゴリズム値、鍵タグ値に
     一致する。DNSKEY RRの所有者名とRDATAがDS RRのダイジェストタイプ
     で指定されるダイジェストアルゴリズムでハッシュされている場合、
     得られたダイジェスト値はDS RRのダイジェスト値と一致する。

   ・DS RRと一致した子ゾーンのDNSKEY RRには署名鍵フラグが設定されており、
     対の秘密鍵で子ゾーンの頂点にあるDNSKEY RRsetに署名している。
     署名の結果得られたRRSIG RRが子ゾーンの頂点にあるDNSKEY RRsetを
     認証している。

   親ゾーンから得られた参照がDS RRsetを含まない場合、委任された名前に関する
   DS RRsetが存在しないことを証明する署名付きNSEC RRsetが応答には含まれて
   いるべきである(セクション3.1.4参照)。DNSSEC対応リゾルバは、参照に
   DS RRsetもDS RRsetの不在証明をするNSEC RRsetも含まれていない場合、
   親ゾーンのネームサーバに対してDS RRsetに関する問合わせをしなければ
   ならない(MUST)(セクション4参照)。

   バリデータがゾーンにDS RRsetが存在しないことを証明するNSEC RRsetを認証
   した場合、親から子に至る認証の経路は存在しない。

   リゾルバが子ゾーンまたは子ゾーンの下位ゾーンに属する、起点となるDNSKEY
   またはDS RRを持っている場合、その起点となるDNSKEYまたはDS RRを使用して
   認証経路を再構築してもよい(MAY)。起点となるDNSKEYまたはDS RRを持たない
   場合、バリデータは子ゾーンまたは子ゾーンの下位にあるRRsetを認証できない。

   バリデータが認証済みのDS RRsetに列挙されたアルゴリズムをどれも
   サポートしていない場合、リゾルバは親から子に至るサポートされた認証経路を
   持たない。このような場合、リゾルバは先に説明したようなDS RRsetの
   不在証明をするNSEC RRを認証した場合と同様に処理すべきである。

   署名付き委任の場合、委任された名前に関して2つのNSEC RRが存在することに
   注意してもらいたい。1つ目のNSEC RRは親ゾーンに存在し、それを使用して
   委任された名前に関するDS RRsetが存在することを証明することができる。
   2つ目のNSEC RRは子ゾーンに存在し、子ゾーンの頂点に存在するRRsetを特定
   する。親ゾーンのNSEC RRと子ゾーンのNSEC RRは常に識別可能である。なぜなら、
   子ゾーンのNSEC RRにはSOAビットが設定されており、親ゾーンのNSEC RRでは
   そのビットはクリアされているからである。DNSSEC対応リゾルバが
   DS RRsetの不在を証明しようとする場合、親ゾーンのNSEC RRを使用しなければ
   ならない(MUST)。


Arends, et al.              Standards Track                    [Page 27]

RFC 4035             DNSSEC Protocol Modifications            March 2005


   リゾルバが認証済みのDS RRsetに列挙されたアルゴリズムをどれもサポート
   していない場合、リゾルバは子ゾーンへの認証経路を検証できない。
   この場合、リゾルバは子ゾーンを未署名と見なして処理すべき(SHOULD)である。