## page was renamed from DNSSEC/RFC5155
## page was renamed from DNS/DNSSEC/RFC5155
DNS/DNSSEC/RFC5155について、ここに記述してください。

http://tools.ietf.org/html/rfc5155
http://jprs.jp/tech/material/rfc/RFC5155-ja.txt
NSEC3 について

日本語訳から




要旨
{{{
   DNSSEC(Domain Name System Security Extensions)では、不在証明を行う
   NSECリソースレコード(RR)が導入された。本文書は、この代替となるNSEC3
   リソースレコードを導入する。NSEC3はNSECと同様に不在証明を提供するが、
   更にゾーン列挙に対抗する手段を提供し、委任が主たる内容の(delegation-
   centric)ゾーンを少しずつ拡大していくこともできるようにする。
}}}

もう1つの問題は、次に示す2つの事例では、未署名ゾーンへの委任に対して
   暗号を使用してセキュリティを保つコストが、予想されるセキュリティ上の恩恵よりも高くなってしまうことである。

2つの事例とはすなわち、
 * 委任が主たる内容の大規模ゾーンと、
 * "Insecure(未署名状況検出：信頼度低)"な委任が短期間で更新されるゾーン
の場合である。

これらの事例ではNSEC RRの連鎖を維持するコストが非常に高くなるので、
　(これらの未署名ゾーンに対して) "Opt-Out"方式を利用することがより適当である。

----
Opt-Outの危険性が指摘されており、一般のゾーンでは使うべきではないという話がある。