MoinQ:

DNSSEC/RFC4641について、ここに記述してください。

DNSSEC Operational Practices

http://tools.ietf.org/html/draft-ietf-dnsop-rfc4641bis-06

DNSOP                                                         O. Kolkman
Internet-Draft                                                W. Mekking
Obsoletes: 2541 (if approved)                                 NLnet Labs
Intended status: Informational                            March 11, 2011
Expires: September 12, 2011
                
DNSSEC Operational Practices, Version 2

ちょっと古い版の日本語: http://jprs.jp/tech/material/id/draft-ietf-dnsop-rfc4641bis-04-ja.txt


NSECレコードの意味

5. Next Record type
   There are two mechanisms to provide authenticated proof of non-
   existence of domain names in DNSSEC: a clear text one and an
   obfuscated-data one.  Each mechanism:

   o  includes a list of all the RRTYPEs present which can be used to
      prove the non-existence of RRTYPEs at a certain name;

   o  stores only the name for which the zone is authoritative (that is,
      glue in the zone is omitted); and

   o  uses a specific RRTYPE to store information about the RRTYPEs
      present at the name: the clear-text mechanism uses NSEC, and the
      obfuscated-data mechanism uses NSEC3.

日本語訳

  ・ ある名前に対して存在する全てのRRタイプの一覧を持ち、それを使用して
      RRタイプの不在証明を行う。

   ・ ゾーンが権威を持つ名前のみを対象とする(つまり、ゾーン内のグルー
      レコードは対象外となる)。

   ・ ある名前に対して存在するRRタイプの情報を格納するために、専用の
      RRタイプを使用する。平文を使用する方式はNSEC RRを使用し、解読困難な
      データを使用する方式はNSEC3 RRを使用する。

委譲対象になるNSレコードはNSECの対象外とも読める。それでいいのか。(穴になりそう)