## page was renamed from DNS/DNSSEC/用語
= DNSSEC/用語 =
<<Navigation(children,1)>>
[[/検証]]

----
<<TableOfContents()>>

== RFC4641 ==

ZSK: Zone Signing Key; used to sign the data within the zone

KSK:  Key Signing Key; used to sign the ZSK and to creat the
  "Secure Entry Point" for the zone

KSK should be rolled once a year

ZSK should be rolled every 3 month

----
"DS" RR : parent zone must now insert a DS RR (to create a chain-of-trust)
   渡し方はそれぞれ。細心の注意が必要。

http://www.asmusic.jp/ASHARD/score/yu-oishi/asscore.cgi/20100718_1
　この説明が簡潔
{{{
ゾーンファイルの各レコードをZSKで署名、
ZSKをKSKで署名して
KSKの公開鍵のハッシュを上流サーバにDSレコードとして登録しておくそうです。

上流サーバにDSレコードが登録されていればDNSSEC対応とみなされ、
上流サーバのDSレコードでKSKの公開鍵を検証し、
KSKでZSKを検証し、
ZSKで実際の各レコードを検証するという仕組みになります。
}}}
----
== validate other zones ==
"trust anchors" --> signed DNS root

additional trust anchors (JPなど、持っている方がよさそう。）

Trust anchors must be obtained by trusted means. (DNSはだめ）

== 信頼の連鎖(chain of trust) ==
信頼という言葉は間違いではないか。
　お上のいうことを信じろというに等しい。
　　せめて、保証か信任の連鎖くらいの訳にしておけばよかった。
　　信託の方がより内容に近い。