MoinQ:

DNS/DNSSEC/RFC5155について、ここに記述してください。

http://tools.ietf.org/html/rfc5155 http://jprs.jp/tech/material/rfc/RFC5155-ja.txt NSEC3 について

日本語訳から

要旨

   DNSSEC(Domain Name System Security Extensions)では、不在証明を行う
   NSECリソースレコード(RR)が導入された。本文書は、この代替となるNSEC3
   リソースレコードを導入する。NSEC3はNSECと同様に不在証明を提供するが、
   更にゾーン列挙に対抗する手段を提供し、委任が主たる内容の(delegation-
   centric)ゾーンを少しずつ拡大していくこともできるようにする。

もう1つの問題は、次に示す2つの事例では、未署名ゾーンへの委任に対して

2つの事例とはすなわち、

の場合である。

これらの事例ではNSEC RRの連鎖を維持するコストが非常に高くなるので、


Opt-Outの危険性が指摘されており、一般のゾーンでは使うべきではないという話がある。