こんにちは、まれいんです。

この記事は ひとりRFCの旅 Advent Calender 9日目の記事です。

qiita.com

今回もまたDNSSECについてのRFCである、RFC8198を読んでいきます。

原文: RFC 8198 - Aggressive Use of DNSSEC-Validated Cache

日本語訳: https://jprs.jp/tech/material/rfc/RFC8198-ja.txt

概要

日本語訳に「DNSSEC署名検証済みキャッシュの積極的使用」と書いてあるように、キャッシュに関するRFCです。 といっても、TTLを伸ばそうとかの話ではなく、今までキャッシュの利用を推奨していなかったものを推奨するようにしよう、というものです。

NSEC

以下のような状況を考えます。

• 署名済みのドメイン名 alpha.example.com, echo.example.com が存在
• この間にはドメインが存在しない
• NSECを利用 (not NSEC3)

charlie.example.com に対してクエリを発行すると、NXDOMAINと共にalpha.example.comのNSECが返ってきます。 これにより、charlie の不在だけではなく、alpha と echo の間にあるすべてのドメインの不在が分かります。

このとき、charlie の不在証明についてはキャッシュするのですが、それ以外のドメイン名、例えば beta や delta についてクエリを発行した場合でも新しくゾーンにドメインが追加されているかもしれないからという理由で、不在が分かっていつつも改めて問合せしなおすようにRFC4035で規定されていました。

しかし、charlie についてはキャッシュするのだから、他のものも等価に扱ってよくない？という提案により、alpha と echo の間にあるすべてのドメイン名について、ネガティブ応答をキャッシュしてよいことになりました。

NSEC3

NSEC3についてもハッシュ化してからソートするだけなので変わりませんが、Opt-Outフラグが設定されている場合は間にあるすべてのドメインの不在を意味しないので例外です。