RFC 8198: Aggressive Use of DNSSEC-Validated Cache
こんにちは、まれいんです。
この記事は ひとりRFCの旅 Advent Calender 9日目の記事です。
今回もまたDNSSECについてのRFCである、RFC8198を読んでいきます。
原文: RFC 8198 - Aggressive Use of DNSSEC-Validated Cache
日本語訳: https://jprs.jp/tech/material/rfc/RFC8198-ja.txt
概要
日本語訳に「DNSSEC署名検証済みキャッシュの積極的使用」と書いてあるように、キャッシュに関するRFCです。 といっても、TTLを伸ばそうとかの話ではなく、今までキャッシュの利用を推奨していなかったものを推奨するようにしよう、というものです。
NSEC
以下のような状況を考えます。
charlie.example.com
に対してクエリを発行すると、NXDOMAINと共にalpha.example.com
のNSECが返ってきます。
これにより、charlie
の不在だけではなく、alpha
と echo
の間にあるすべてのドメインの不在が分かります。
このとき、charlie
の不在証明についてはキャッシュするのですが、それ以外のドメイン名、例えば beta
や delta
についてクエリを発行した場合でも新しくゾーンにドメインが追加されているかもしれないからという理由で、不在が分かっていつつも改めて問合せしなおすようにRFC4035で規定されていました。
しかし、charlie
についてはキャッシュするのだから、他のものも等価に扱ってよくない?という提案により、alpha
と echo
の間にあるすべてのドメイン名について、ネガティブ応答をキャッシュしてよいことになりました。
NSEC3
NSEC3についてもハッシュ化してからソートするだけなので変わりませんが、Opt-Outフラグが設定されている場合は間にあるすべてのドメインの不在を意味しないので例外です。