MoinQ:

DNS/DNSSEC/スタブリゾルバーについて、ここに記述してください。

1. RFC4033 日本語訳より

7. スタブリゾルバに関する考慮点

プロトコルで厳密に要求されているわけではないのだが、ほとんどのDNS問合わせはスタブリゾルバで生成される。

定義によれば、

スタブリゾルバは広範囲で使用されているため、DNSSECアーキテクチャはスタブリゾルバを考慮しなければならない。 しかし、スタブリゾルバで必要とされるDNSSEC機能は、DNSSEC対応の反復検索を行うリゾルバ (フルリゾルバ)で必要とされる機能と幾つかの点で異なる。

スタブリゾルバがDNSSEC非対応であったとしても、 そのスタブリゾルバが使用する再帰ネームサーバがDNSSEC対応であれば、 DNSSECの恩恵を受けられるかもしれない。

再帰ネームサーバを信頼する問題はローカルポリシーに関するものである。

通信チャネルを信頼する問題は、何らかのチャネルセキュリティの仕組みを必要とする。

再帰ネームサーバと通信チャネルの両方を信頼するDNSSEC対応スタブリゾルバは、

何らかの理由により、DNSSEC対応スタブリゾルバと、スタブリゾルバが使用する再帰ネームサーバとの間に信頼関係を築けない場合、 スタブリゾルバが選択可能な方法がもう1つある。