DNS/DNSSEC/RFC5155について、ここに記述してください。
http://tools.ietf.org/html/rfc5155 http://jprs.jp/tech/material/rfc/RFC5155-ja.txt NSEC3 について
日本語訳から
要旨
DNSSEC(Domain Name System Security Extensions)では、不在証明を行う NSECリソースレコード(RR)が導入された。本文書は、この代替となるNSEC3 リソースレコードを導入する。NSEC3はNSECと同様に不在証明を提供するが、 更にゾーン列挙に対抗する手段を提供し、委任が主たる内容の(delegation- centric)ゾーンを少しずつ拡大していくこともできるようにする。
もう1つの問題は、次に示す2つの事例では、未署名ゾーンへの委任に対して
- 暗号を使用してセキュリティを保つコストが、予想されるセキュリティ上の恩恵よりも高くなってしまうことである。
2つの事例とはすなわち、
- 委任が主たる内容の大規模ゾーンと、
- "Insecure(未署名状況検出:信頼度低)"な委任が短期間で更新されるゾーン
の場合である。
これらの事例ではNSEC RRの連鎖を維持するコストが非常に高くなるので、
- (これらの未署名ゾーンに対して) "Opt-Out"方式を利用することがより適当である。
Opt-Outの危険性が指摘されており、一般のゾーンでは使うべきではないという話がある。