MoinQ:

Describe DNS/DNSSEC/DS here.

1. DS レコード

DNSKEY 公開鍵のダイジェスト値であり、上位サーバに登録するものである。 (RFC 4509)

Delegation Signer (DS) RRタイプ(タイプコード43)

以下の説明はあいまいである。(公開鍵の部分) http://ja.wikipedia.org/wiki/DNS_Security_Extensions

DNSSECは、委譲先のホスト名に加えて、そのゾーンで使われる公開鍵のダイジェスト値を追加のリソースレコード(DSレコード)として提供する。
クライアントは委譲先のDNSKEYレコードから公開鍵を取得し、そのダイジェスト値をDSレコードと比較することによって、正当な鍵であるか確認できる。

/twoDS

2. DS を取り次ぐレジストラが少ない

JPRSページにあるレジストラ紹介ページを参照してください。

2.1. DS 登録ドメイン数

JPでDSレコードを登録しているドメインを調べてみました。 -- ToshinoriMaeno 2011-02-25 00:52:56

グループ

サンプル数

2011-02-24

03-21

04-25

5-26

6-25

2012-05

2015-03

2016-02

*.go.jp

400弱

0

0

0

0

0

0

-

5

*.ac.jp

1700

0

0

0

2

3

*.ad.jp

188

3

3

3

3

3

*.ne.jp

7000

5

7

8

8

8

13

*.or.jp

8300

4

4

4

4

4

*.co.jp

46000

25

25

23

23

24

37

36

38

汎用jp

37000

17

17

18

17

17

co.jp が多いのはsannet.ad.jp を使っているから。(2011年)

jpdirect.jp, jprs.jp, dnslab.jp なんてところは当然として、 sra.jp, fujitv.jp(iij.ad.jp), tamagawa.jp などが目をひいた。

DNSSEC/プロバイダ /ne.jp


RFC 4034 より

5.  The DS Resource Record

   The DS Resource Record refers to a DNSKEY RR and is used in the DNS
   DNSKEY authentication process.  A DS RR refers to a DNSKEY RR by
   storing the key tag, algorithm number, and a digest of the DNSKEY RR.
   Note that while the digest should be sufficient to identify the
   public key, storing the key tag and key algorithm helps make the
   identification process more efficient.  By authenticating the DS
   record, a resolver can authenticate the DNSKEY RR to which the DS
   record points.  The key authentication process is described in
   [RFC4035].

5.2.  Processing of DS RRs When Validating Responses

   The DS RR links the authentication chain across zone boundaries, so
   the DS RR requires extra care in processing.  The DNSKEY RR referred
   to in the DS RR MUST be a DNSSEC zone key.  The DNSKEY RR Flags MUST
   have Flags bit 7 set.  If the DNSKEY flags do not indicate a DNSSEC
   zone key, the DS RR (and the DNSKEY RR it references) MUST NOT be
   used in the validation process.

RFC 4035 2.4. Including DS RRs in a Zone

   The DS resource record establishes authentication chains between DNS
   zones.  A DS RRset SHOULD be present at a delegation point when the
   child zone is signed.  The DS RRset MAY contain multiple records,
   each referencing a public key in the child zone used to verify the
   RRSIGs in that zone.  All DS RRsets in a zone MUST be signed, and DS
   RRsets MUST NOT appear at a zone's apex.

   A DS RR SHOULD point to a DNSKEY RR that is present in the child's
   apex DNSKEY RRset, and the child's apex DNSKEY RRset SHOULD be signed
   by the corresponding private key.  DS RRs that fail to meet these
   conditions are not useful for validation, but because the DS RR and
   its corresponding DNSKEY RR are in different zones, and because the
   DNS is only loosely consistent, temporary mismatches can occur.

   The TTL of a DS RRset SHOULD match the TTL of the delegating NS RRset
   (that is, the NS RRset from the same zone containing the DS RRset).

   Construction of a DS RR requires knowledge of the corresponding
   DNSKEY RR in the child zone, which implies communication between the
   child and parent zones.  This communication is an operational matter
   not covered by this document.

「DNS RRをどう作るかは運用の問題である。」