RFC4986 日本語訳
4986 Requirements Related to DNS Security (DNSSEC) Trust AnchorRollover. H. Eland, R. Mundy, S. Crocker, S. Krishnaswamy. August 2007. (Format: TXT=22647 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
英語原文
Network Working Group H. Eland
Request for Comments: 4986 Afilias Limited
Category: Informational R. Mundy
SPARTA, Inc.
S. Crocker
Shinkuro Inc.
S. Krishnaswamy
SPARTA, Inc.
August 2007
コメントを求めるワーキンググループH.オオカモシカ要求をネットワークでつないでください: 4986年のアフィリアス株式会社カテゴリ: 情報のR.の株式会社S.KrishnaswamyスパルタInc.マンディスパルタInc.S.医者Shinkuro2007年8月
Requirements Related to DNS Security (DNSSEC) Trust Anchor Rollover
DNSセキュリティ(DNSSEC)信用アンカーロールオーバーに関連する要件
Status of This Memo
このメモの状態
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。
Abstract
要約
Every DNS security-aware resolver must have at least one Trust Anchor to use as the basis for validating responses from DNS signed zones. For various reasons, most DNS security-aware resolvers are expected to have several Trust Anchors. For some operations, manual monitoring and updating of Trust Anchors may be feasible, but many operations will require automated methods for updating Trust Anchors in their security-aware resolvers. This document identifies the requirements that must be met by an automated DNS Trust Anchor rollover solution for security-aware DNS resolvers.
DNSから応答を有効にする基礎がゾーンにサインしたので、すべてのDNSのセキュリティ意識しているレゾルバが少なくとも1Trust Anchorを使用に持たなければなりません。 様々な理由で、ほとんどのDNSのセキュリティ意識しているレゾルバが数個のTrust Anchorsを持っていると予想されます。 いくつかの操作に、Trust Anchorsの手動のモニターとアップデートは可能であるかもしれませんが、多くの操作が彼らのセキュリティ意識しているレゾルバでTrust Anchorsをアップデートするための自動化された方法を必要とするでしょう。 このドキュメントはセキュリティ意識しているDNSレゾルバの自動化されたDNS Trust Anchorロールオーバー解決策で満たさなければならない必要条件を特定します。
Eland, et al. Informational [Page 1] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[1ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3. Background . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4. Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5. Requirements . . . . . . . . . . . . . . . . . . . . . . . . . 6
5.1. Scalability . . . . . . . . . . . . . . . . . . . . . . . . 6
5.2. No Known Intellectual Property Encumbrance . . . . . . . . 6
5.3. General Applicability . . . . . . . . . . . . . . . . . . . 7
5.4. Support Private Networks . . . . . . . . . . . . . . . . . 7
5.5. Detection of Stale Trust Anchors . . . . . . . . . . . . . 7
5.6. Manual Operations Permitted . . . . . . . . . . . . . . . . 7
5.7. Planned and Unplanned Rollovers . . . . . . . . . . . . . . 7
5.8. Timeliness . . . . . . . . . . . . . . . . . . . . . . . . 8
5.9. High Availability . . . . . . . . . . . . . . . . . . . . . 8
5.10. New RR Types . . . . . . . . . . . . . . . . . . . . . . . 8
5.11. Support for Trust Anchor Maintenance Operations . . . . . . 8
5.12. Recovery from Compromise . . . . . . . . . . . . . . . . . 8
5.13. Non-Degrading Trust . . . . . . . . . . . . . . . . . . . . 8
6. Security Considerations . . . . . . . . . . . . . . . . . . . . 9
7. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 9
8. Normative References . . . . . . . . . . . . . . . . . . . . . 9
1. 序論. . . . . . . . . . . . . . . . . . . . . . . . . 3 2。 用語. . . . . . . . . . . . . . . . . . . . . . . . . . 3 3。 バックグラウンド. . . . . . . . . . . . . . . . . . . . . . . . . . 3 4。 定義. . . . . . . . . . . . . . . . . . . . . . . . . . 4 5。 要件. . . . . . . . . . . . . . . . . . . . . . . . . 6 5.1。 スケーラビリティ. . . . . . . . . . . . . . . . . . . . . . . . 6 5.2。 知られている知的所有権障害がありません. . . . . . . . 6 5.3。 一般適用性. . . . . . . . . . . . . . . . . . . 7 5.4。 私設のネットワーク. . . . . . . . . . . . . . . . . 7 5.5をサポートしてください。 聞き古した信用の検出は.75.6を据えつけます。 手動は.75.7を可能にしました。 計画されて無計画なロールオーバー. . . . . . . . . . . . . . 7 5.8。 タイムリー. . . . . . . . . . . . . . . . . . . . . . . . 8 5.9。 高可用性. . . . . . . . . . . . . . . . . . . . . 8 5.10。 新しいRRは.85.11をタイプします。 信用アンカーメンテナンスには、操作. . . . . . 8 5.12を支持してください。 妥協. . . . . . . . . . . . . . . . . 8 5.13からの回復。 非退行信用. . . . . . . . . . . . . . . . . . . . 8 6。 セキュリティ問題. . . . . . . . . . . . . . . . . . . . 9 7。 承認. . . . . . . . . . . . . . . . . . . . . . . 9 8。 引用規格. . . . . . . . . . . . . . . . . . . . . 9
Eland, et al. Informational [Page 2] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[2ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
1. Introduction
1. 序論
The Domain Name System Security Extensions (DNSSEC), as described in [2], [3], and [4], define new records and protocol modifications to DNS that permit security-aware resolvers to validate DNS Resource Records (RRs) from one or more Trust Anchors held by such security- aware resolvers.
[2]、[3]、および[4]で説明されるドメインネームシステムSecurity Extensions(DNSSEC)は新しい記録を定義します、そして、セキュリティ意識しているレゾルバが1Trust AnchorsからDNS Resource Records(RRs)を有効にするのを可能にするDNSへのプロトコル変更はそのようなセキュリティの意識しているレゾルバを固守しました。
Security-aware resolvers will have to initially obtain their Trust Anchors in a trustworthy manner to ensure the Trust Anchors are correct and valid. There are a number of ways that this initial step can be accomplished; however, details of this step are beyond the scope of this document. Once an operator has obtained Trust Anchors, initially entering the Trust Anchors into their security-aware resolvers will in many instances be a manual operation.
セキュリティ意識しているレゾルバは、初めは、Trust Anchorsが確実に正しく有効になるようにするために信頼できる方法で彼らのTrust Anchorsを入手しなければならないでしょう。 この初期段階を達成できる多くの方法があります。 しかしながら、このステップの詳細はこのドキュメントの範囲を超えています。 オペレータがいったんTrust Anchorsを入手した後、初めは彼らのセキュリティ意識しているレゾルバが多くでそうするのを例にTrust Anchorsを入れて、手動になってください。
For some operational environments, manual management of Trust Anchors might be a viable approach. However, many operational environments will require a more automated, specification-based method for updating and managing Trust Anchors. This document provides a list of requirements that can be used to measure the effectiveness of any proposed automated Trust Anchor rollover mechanism in a consistent manner.
いくつかの運用環境のために、Trust Anchorsの手動の管理は実行可能なアプローチであるかもしれません。 しかしながら、多くの運用環境がTrust Anchorsをアップデートして、管理するためのより多くの自動化されて、より仕様ベースの方法を必要とするでしょう。 このドキュメントは一貫した方法によるどんな提案された自動化されたTrust Anchorロールオーバーメカニズムの有効性も測定するのに使用できる要件のリストを提供します。
2. Terminology
2. 用語
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはRFC2119[1]で説明されるように本書では解釈されることであるべきですか?
The use of RFC 2119 words in the requirements is intended to unambiguously describe a requirement. If a tradeoff is to be made between conflicting requirements when choosing a solution, the requirement with MUST language will have higher preference than requirements with SHOULD, MAY, or RECOMMENDED language. It is understood that a tradeoff may need to be made between requirements that both contain RFC 2119 language.
要件におけるRFC2119単語の使用が明白に要件について説明することを意図します。 見返りが解決策、要件を選ぶとき、競合する要求事項の間で作られることである、言語は要件より高い好みを持つためにSHOULD、5月、またはRECOMMENDED言語で望んでいなければなりませんか? 見返りが、両方がRFC2119言語を含んでいるという要件の間で作られている必要であるかもしれないのが理解されています。
3. Background
3. バックグラウンド
DNS resolvers need to have one or more starting points to use in obtaining DNS answers. The starting points for stub resolvers are normally the IP addresses for one or more recursive name servers. The starting points for recursive name servers are normally IP addresses for DNS Root name servers. Similarly, security-aware resolvers must have one or more starting points to use for building the authenticated chain to validate a signed DNS response. Instead of IP addresses, DNSSEC requires that each resolver trust one or more
DNSレゾルバはDNS答えを得る際に使用する1つ以上の出発点を必要とします。 通常、スタッブレゾルバのための出発点は1つ以上の再帰的なネームサーバのためのIPアドレスです。 通常、再帰的なネームサーバのための出発点はDNS RootネームサーバのためのIPアドレスです。 同様に、セキュリティ意識しているレゾルバには、サインされたDNS応答を有効にするために認証されたチェーンを組立てるのに使用する1つ以上の出発点がなければなりません。 IPアドレスの代わりに、DNSSECはそのそれぞれのレゾルバ信用1か以上を必要とします。
Eland, et al. Informational [Page 3] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[3ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
DNSKEY RRs or DS RRs as their starting point. Each of these starting points is called a Trust Anchor.
彼らの出発点としてのDNSKEY RRsかDS RRs。 それぞれのこれらの出発点はTrust Anchorと呼ばれます。
It should be noted that DNSKEY RRs and DS RRs are not Trust Anchors when they are created by the signed zone operator nor are they Trust Anchors because the records are published in the signed zone. A DNSKEY RR or DS RR becomes a Trust Anchor when an operator of a security-aware resolver determines that the public key or hash will be used as a Trust Anchor. Thus, the signed zone operator that created and/or published these RRs may not know if any of the DNSKEY RRs or DS RRs associated with their zone are being used as Trust Anchors by security-aware resolvers. The obvious exceptions are the DNSKEY RRs for the Root Zone, which will be used as Trust Anchors by many security-aware resolvers. For various reasons, DNSKEY RRs or DS RRs from zones other than Root can be used by operators of security- aware resolvers as Trust Anchors. It follows that responsibility lies with the operator of the security-aware resolver to ensure that the DNSKEY and/or DS RRs they have chosen to use as Trust Anchors are valid at the time they are used by the security-aware resolver as the starting point for building the authentication chain to validate a signed DNS response.
記録がサインされたゾーンで発表されるので、彼らがサインされたゾーンのオペレータによって作成されるとき、DNSKEY RRsとDS RRsがTrust Anchorsでなく、また彼らがTrust Anchorsでないことが有名であるべきです。 セキュリティ意識しているレゾルバのオペレータが、公開鍵か細切れ肉料理がTrust Anchorとして使用されると決心していると、DNSKEY RRかDS RRがTrust Anchorになります。 したがって、これらのRRsを作成する、そして/または、発行したサインされたゾーンのオペレータは、彼らのゾーンに関連しているDNSKEY RRsかDS RRsのどれかがTrust Anchorsとしてセキュリティ意識しているレゾルバによって使用されているかどうかを知らないかもしれません。 明白な例外はRoot ZoneのためのDNSKEY RRsです。(Root ZoneはTrust Anchorsとして多くのセキュリティ意識しているレゾルバによって使用されるでしょう)。 様々な理由のために、セキュリティの意識しているレゾルバのオペレータはTrust AnchorsとしてRoot以外のゾーンからのDNSKEY RRsかDS RRsを使用できます。 それにDNSKEYを確実にする、そして/または、彼らが彼らが有効にする認証チェーンを組立てるのに出発点としてセキュリティ意識しているレゾルバによって使用されるときTrust Anchorsが有効であるので使用するのを選んだDS RRsにサインされたDNS応答を確実にするのが、セキュリティ意識しているレゾルバのオペレータには責任があるのに続きます。
When operators of security-aware resolvers choose one or more Trust Anchors, they must also determine the method(s) they will use to ensure that they are using valid RRs and that they are able to determine when RRs being used as Trust Anchors should be replaced or removed. Early adopters of DNS signed zones have published information about the processes and methods they will use when their DNSKEY and/or DS RRs change so that operators of security-aware resolvers can manually change the Trust Anchors at the appropriate time. This manual approach will not scale and, therefore, drives the need for an automated specification-based approach for rollover of Trust Anchors for security-aware resolvers.
また、セキュリティ意識しているレゾルバのオペレータが1Trust Anchorsを選ぶと、彼らは彼らが有効なRRsを使用していて、いつTrust Anchorsとして使用されるRRsを取り替えるべきであるか、または取り外すべきであるかを決定できるのを保証するのに使用する方法を決定しなければなりません。 セキュリティ意識しているレゾルバのオペレータが適切な時期で手動でTrust Anchorsを変えることができるようにそれらのDNSKEY、そして/または、DS RRsが変化するとき、サインされたゾーンが持っているDNSの初期採用者はそれらが使用する過程と方法の情報を発表しました。 この手動のアプローチは、比例しないで、したがって、セキュリティ意識しているレゾルバのためにTrust Anchorsのロールオーバーのための自動化された仕様ベースのアプローチの必要性を追い立てます。
4. Definitions
4. 定義
This document uses the definitions contained in RFC 4033, section 2, plus the following additional definitions:
このドキュメントはRFC4033、セクション2、および以下の追加定義に含まれた定義を使用します:
Trust Anchor: From RFC 4033, "A configured DNSKEY RR or DS RR hash
of a DNSKEY RR. A validating security-aware resolver uses this
public key or hash as a starting point for building the
authentication chain to a signed DNS response." Additionally, a
DNSKEY RR or DS RR is associated with precisely one point in the
DNS hierarchy, i.e., one DNS zone. Multiple Trust Anchors MAY be
associated with each DNS zone and MAY be held by any number of
security-aware resolvers. Security-aware resolvers MAY have Trust
Anchors from multiple DNS zones. Those responsible for the
アンカーを信じてください: RFC4033か、「DNSKEY RRの構成されたDNSKEY RRかDS RR細切れ肉料理」から。 「有効にすることのセキュリティ意識しているレゾルバがサインされたDNSに認証チェーンを組立てるのに出発点としてこの公開鍵か細切れ肉料理を使用するのを応答。」 さらに、DNSKEY RRかDS RRがDNS階層構造(すなわち、1つのDNSゾーン)で正確に1ポイントに関連しています。 複数のTrust AnchorsがそれぞれのDNSゾーンに関連しているかもしれなくて、いろいろなセキュリティ意識しているレゾルバによって持たれているかもしれません。 セキュリティ意識しているレゾルバは複数のDNSゾーンからのTrust Anchorsを持っているかもしれません。 責任があるそれら
Eland, et al. Informational [Page 4] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[4ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
operation of security-aware resolvers are responsible for
determining the set of RRs that will be used as Trust Anchors by
that resolver.
セキュリティ意識しているレゾルバの操作はTrust Anchorsとしてそのレゾルバによって使用されるRRsのセットを決定するのに原因となります。
Initial Trust Relationship: Operators of security-aware resolvers
must ensure that they initially obtain any Trust Anchors in a
trustworthy manner. For example, the correctness of the Root Zone
DNSKEY RR(s) could be verified by comparing what the operator
believes to be the Root Trust Anchor(s) with several 'well-known'
sources such as the IANA web site, the DNS published Root Zone and
the publication of the public key in well-known hard-copy forms.
For other Trust Anchors, the operator must ensure the accuracy and
validity of the DNSKEY and/or DS RRs before designating them Trust
Anchors. This might be accomplished through a combination of
technical, procedural, and contractual relationships, or use other
existing trust relationships outside the current DNS protocol.
信用関係に頭文字をつけてください: セキュリティ意識しているレゾルバのオペレータは、彼らが初めは信頼できる方法でどんなTrust Anchorsも入手するのを保証しなければなりません。 例えば、オペレータがIANAウェブサイトなどの'周知'の数個の源があるRoot Trust Anchor(s)、DNSであると周知のハードコピーフォームで公開鍵のRoot Zoneと公表を発表すると信じていることを比較することによって、Root Zone DNSKEY RR(s)の正当性について確かめることができるでしょう。他のTrust Anchorsに関して、Trust Anchorsに彼らを指定する前に、オペレータは、DNSKEY、そして/または、DS RRsの精度と正当性を確実にしなければなりません。 これは、技術的で、手続き上の、そして、契約上の関係の組み合わせで達成されるか、または現在のDNSプロトコルの外に他の既存の信用関係を使用するかもしれません。
Trust Anchor Distribution: The method or methods used to convey the
DNSKEY and/or DS RR(s) between the signed zone operator and the
security-aware resolver operator. The method or methods MUST be
deemed sufficiently trustworthy by the operator of the security-
aware resolver to ensure source authenticity and integrity of the
new RRs to maintain the Initial Trust Relationship required to
designate those RRs as Trust Anchors.
アンカー分配を信じてください: 方法か方法が以前はよくサインされたゾーンのオペレータとセキュリティ意識しているレゾルバオペレータの間までDNSKEY、そして/または、DS RR(s)を運んでいました。 セキュリティの意識しているレゾルバのオペレータは、Initial Trust RelationshipがTrust AnchorsとしてそれらのRRsを指定するのが必要であると主張するために新しいRRsのソースの信憑性と保全を確実にするために十分信頼できると方法か方法を考えなければなりません。
Trust Anchor Maintenance: Any change in a validating security-aware
resolver to add a new Trust Anchor, delete an existing Trust
Anchor, or replace an existing Trust Anchor with another. This
change might be accomplished manually or in some automated manner.
Those responsible for the operation of the security-aware resolver
are responsible for establishing policies and procedures to ensure
that a sufficient Initial Trust Relationship is in place before
adding Trust Anchors for a particular DNS zone to their security-
aware resolver configuration.
アンカー維持を信じてください: いずれも、新しいTrust Anchorを加えるか、既存のTrust Anchorを削除するか、または既存のTrust Anchorを別のものに取り替えるためにセキュリティ有効にするのを意識しているレゾルバを変えます。 この変化は手動か何らかの自動化された方法で達成されるかもしれません。 制定方針と手順が、特定のDNSゾーンにTrust Anchorsを追加する前に、彼らのセキュリティの意識しているレゾルバ構成には十分なInitial Trust Relationshipが適所にあるのを保証するのにおいてセキュリティ意識しているレゾルバの操作に責任があるそれらは責任があります。
Trust Anchor Revocation and Removal: The invalidation of a
particular Trust Anchor that results when the operator of the
signed zone revokes or removes a DNSKEY RR or DS RR that is being
used as a Trust Anchor by any security-aware resolver. It is
possible that a zone administrator may invalidate more than one RR
at one point in time; therefore, it MUST be clear to both the zone
administrator and the security-aware resolver the exact RR(s) that
have been revoked or removed so the proper Trust Anchor or Trust
Anchors are removed.
アンカー取消しと取り外しを信じてください: サインされたゾーンのオペレータであるときに結果になる特定のTrust Anchorの無効にするのは、Trust Anchorとしてどんなセキュリティ意識しているレゾルバによっても使用されているDNSKEY RRかDS RRを取り消すか、または取り外します。ゾーンの管理者が時間内に1ポイントの1RRを無効にするのは、可能です。 したがって、それがゾーンの管理者とセキュリティ意識しているレゾルバの両方に取り消されるか、または取り外された正確なRR(s)をきれいにすることであるに違いないので、適切なTrust AnchorかTrust Anchorsが取り外されます。
Eland, et al. Informational [Page 5] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[5ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
Trust Anchor Rollover: The method or methods necessary for the
secure replacement of one or multiple Trust Anchors held by
security-aware resolvers. Trust Anchor Rollover should be
considered a subset of Trust Anchor Maintenance.
アンカーロールオーバーを信じてください: 1か複数のTrust Anchorsの安全な交換に必要な方法か方法がセキュリティ意識しているレゾルバを固守しました。 信用Anchor RolloverはTrust Anchor Maintenanceの部分集合であると考えられるべきです。
Normal or Pre-Scheduled Trust Anchor Rollover: The operator of a
DNSSEC signed zone has issued a new DNSKEY and/or DS RR(s) as a
part of an operational routine.
正常であるかあらかじめ予定されている信用アンカーロールオーバー: サインされたゾーンが操作上のルーチンの一部として新しいDNSKEY、そして/または、DS RR(s)を発行したDNSSECのオペレータ。
Emergency or Non-Scheduled Trust Anchor Rollover: The operator of a
signed zone has issued a new DNSKEY and/or DS RR(s) as part of an
exceptional event.
非常時か非予定されている信用アンカーロールオーバー: サインされたゾーンのオペレータは例外的な出来事の一部として新しいDNSKEY、そして/または、DS RR(s)を発行しました。
Emergency Trust Anchor Revocation: The operator of a signed zone
wishes to indicate that the current DNSKEY and/or DS RR(s) are no
longer valid as part of an exceptional event.
非常時の信用アンカー取消し: サインされたゾーンのオペレータは、現在のDNSKEY、そして/または、DS RR(s)がもう例外的な出来事の一部として有効でないことを示したがっています。
5. Requirements
5. 要件
Following are the requirements for DNSSEC automated specification- based Trust Anchor Rollover:
以下に、DNSSECの自動化された仕様ベースのTrust Anchor Rolloverのための要件があります:
5.1. Scalability
5.1. スケーラビリティ
The automated Trust Anchor Rollover solution MUST be capable of scaling to Internet-wide usage. The probable largest number of instances of security-aware resolvers needing to rollover a Trust Anchor will be those that use the public key(s) for the Root Zone as Trust Anchor(s). This number could be extremely large if a number of applications have embedded security-aware resolvers.
自動化されたTrust Anchor Rollover解決策はインターネット全体の用法に比例できなければなりません。 ロールオーバーにTrust Anchorを必要とするセキュリティ意識しているレゾルバの例のありえそうな最多数はRoot ZoneにTrust Anchor(s)として公開鍵を使用するものになるでしょう。 応募件数がセキュリティ意識しているレゾルバを埋め込んだなら、この数は非常に大きいかもしれません。
The automated Trust Anchor Rollover solution MUST be able to support Trust Anchors for multiple zones and multiple Trust Anchors for each DNS zone. The number of Trust Anchors that might be configured into any one validating security-aware resolver is not known with certainty at this time; in most cases it will be less than 20 but it may even be as high as one thousand.
自動化されたTrust Anchor Rollover解決策は複数のゾーンと複数のTrust AnchorsのためにそれぞれのDNSゾーンにTrust Anchorsを支持できなければなりません。 セキュリティ意識しているレゾルバを有効にしながらいくらか1つに構成されるかもしれないTrust Anchorsの数はこのとき、確実性で知られていません。 多くの場合、20になりますが、それは1,000と同じくらい高くさえあるかもしれません。
5.2. No Known Intellectual Property Encumbrance
5.2. 知られている知的所有権障害がありません。
Because trust anchor rollover is likely to be "mandatory-to- implement", section 8 of [5] requires that the technical solution chosen must not be known to be encumbered or must be available under royalty-free terms.
信用アンカーロールオーバーが傾向がある「義務的である、-、道具、」、[5]のセクション8が、必須が選ばれた技術的解決法が妨げられるのが知られないのを必要とするか、または空いている下のロイヤリティのいらない用語が必要であるに違いありません。
For this purpose, "royalty-free" is defined as follows: worldwide, irrevocable, perpetual right to use, without fee, in commerce or otherwise, where "use" includes descriptions of algorithms,
このために、「ロイヤリティのいらないこと」は以下の通り定義されます: まさしく使用するのに商業かそうでないところの料金のない世界中と、呼び戻せないのと、永久です。そこでは、「使用」がアルゴリズムの記述を含んでいます。
Eland, et al. Informational [Page 6] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[6ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
distribution and/or use of hardware implementations, distribution and/or use of software systems in source and/or binary form, in all DNS or DNSSEC applications including registry, registrar, domain name service including authority, recursion, caching, forwarding, stub resolver, or similar.
ソース、そして/または、バイナリーにおけるソフトウェア・システムのハードウェア実装の分配、使用、分配、そして/または、使用は登録、記録係を含むすべてのDNSかDNSSECアプリケーションで権威、キャッシュしていて、進めているスタッブレゾルバの、または、同様の再帰を含むドメイン名サービスを形成します。
In summary, no implementor, distributor, or operator of the technology chosen for trust anchor management shall be expected or required to pay any fee to any IPR holder for the right to implement, distribute, or operate a system which includes the chosen mandatory- to-implement solution.
概要では、信用アンカー管理に選ばれた技術のどんな作成者、販売業者も、またはオペレータも道具の選ばれた義務的な解決策を含んでいるシステムを実行するか、分配するか、または操作する権利のどんな料金もどんなIPR所有者にも支払うのが予想されないものとするか、必要でないものとします。
5.3. General Applicability
5.3. 一般適用性
The solution MUST provide the capability to maintain Trust Anchors in security-aware resolvers for any and all DNS zones.
解決策はセキュリティ意識しているレゾルバでありとあらゆるDNSゾーンにTrust Anchorsを維持する能力を提供しなければなりません。
5.4. Support Private Networks
5.4. 私設のネットワークをサポートしてください。
The solution MUST support private networks with their own DNS hierarchy.
解決策はそれら自身のDNS階層構造で私設のネットワークをサポートしなければなりません。
5.5. Detection of Stale Trust Anchors
5.5. 聞き古した信用アンカーの検出
The Trust Anchor Rollover solution MUST allow a validating security- aware resolver to be able to detect if the DNSKEY and/or DS RR(s) can no longer be updated given the current set of actual trust-anchors. In these cases, the resolver should inform the operator of the need to reestablish initial trust.
Trust Anchor Rollover解決策は、有効にするセキュリティ意識しているレゾルバが、現在のセットの実際の信用アンカーを考えて、もうDNSKEY、そして/または、DS RR(s)をアップデートできないかどうか検出できるのを許容しなければなりません。 これらの場合では、レゾルバは初期の信用を回復させる必要性についてオペレータに知らせるはずです。
5.6. Manual Operations Permitted
5.6. 手動は可能にしました。
The operator of a security-aware resolver may choose manual or automated rollover, but the rollover protocol must allow the implementation to support both automated and manual Trust Anchor Maintenance operations. Implementation of the rollover protocol is likely to be mandatory, but that's out of scope for this requirements document.
セキュリティ意識しているレゾルバのオペレータは手動の、または、自動化されたロールオーバーを選ぶかもしれませんが、ロールオーバープロトコルで、実現は自動化されて手動の両方のTrust Anchor Maintenance操作を支持できなければなりません。 ロールオーバープロトコルの実現は義務的である傾向がありますが、この要件ドキュメントのための範囲の外にそれはいます。
5.7. Planned and Unplanned Rollovers
5.7. 計画されて無計画なロールオーバー
The solution MUST permit both planned (pre-scheduled) and unplanned (non-scheduled) rollover of Trust Anchors. Support for providing an Initial Trust Relationship is OPTIONAL.
解決策は計画された(あらかじめ予定されている)ものとTrust Anchorsの同様に無計画な(非予定されている)ロールオーバーを可能にしなければなりません。 Initial Trust Relationshipを提供するサポートはOPTIONALです。
Eland, et al. Informational [Page 7] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[7ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
5.8. Timeliness
5.8. タイムリー
Resource Records used as Trust Anchors SHOULD be able to be distributed to security-aware resolvers in a timely manner.
リソースRecords、Trust Anchors SHOULDとして使用されて、直ちにセキュリティ意識しているレゾルバに分配できてください。
Security-aware resolvers need to acquire new and remove revoked DNSKEY and/or DS RRs that are being used as Trust Anchors for a zone such that no old RR is used as a Trust Anchor for long after the zone issues new or revokes existing RRs.
セキュリティ意識しているレゾルバがゾーンにTrust Anchorsとしてあれほどそんなに古くない使用されて、RRがずっと後ににTrust Anchorとして使用されるというゾーンが新しく発行することであるか取消しである取り消されたDNSKEY、そして/または、DS RRsを新しく獲得して、取り外す必要であるのを既存のRRs。
5.9. High Availability
5.9. 高可用性
Information about the zone administrator's view of the state of Resource Records used as Trust Anchors SHOULD be available in a trustworthy manner at all times to security-aware resolvers. Information about Resource Records that a zone administrator has invalidated and that are known to be used as Trust Anchors should be available in a trustworthy manner for a reasonable length of time.
アドミニストレータのResource Recordsの州の視点が利用可能なコネが信頼できる方法であったならTrust Anchors SHOULDとしていつもセキュリティ意識しているレゾルバに使用したゾーンに関する情報。 Trust Anchorsが妥当な長さの時間の信頼できる方法で利用可能であるべきであるのでゾーンの管理者が無効にしたResource Recordsに関する情報とそれが使用されるのが知られています。
5.10. New RR Types
5.10. 新しいRRはタイプします。
If a Trust Anchor Rollover solution requires new RR types or protocol modifications, this should be considered in the evaluation of solutions. The working group needs to determine whether such changes are a good thing or a bad thing or something else.
Trust Anchor Rollover解決策が新しいRRタイプかプロトコル変更を必要とするなら、これは解決策の評価で考えられるべきです。 ワーキンググループは、そのような変化が良いもの、悪いものまたは他の何かであるかを決定する必要があります。
5.11. Support for Trust Anchor Maintenance Operations
5.11. 信用アンカー維持操作のサポート
The Trust Anchor Rollover solution MUST support operations that allow a validating security-aware resolver to add a new Trust Anchor, delete an existing Trust Anchor, or replace an existing Trust Anchor with another.
Trust Anchor Rollover解決策は有効にしているセキュリティ意識しているレゾルバが新しいTrust Anchorを加えるか、既存のTrust Anchorを削除するか、または既存のTrust Anchorを別のものに取り替える操作を、支持しなければなりません。
5.12. Recovery from Compromise
5.12. 妥協からの回復
The Trust Anchor Rollover solution MUST allow a security-aware resolver to be able to recover from the compromise of any of its configured Trust Anchors for a zone so long as at least one other key, which is known to have not been compromised, is configured as a Trust Anchor for that same zone at that resolver.
Trust Anchor Rollover解決策は、他の少なくとも1個のキー(妥協していないのが知られている)がその同じゾーンへのTrust Anchorとしてそのレゾルバで構成される限り、セキュリティ意識しているレゾルバが構成されたTrust Anchorsのどれかの妥協からゾーンに回復できるのを許容しなければなりません。
5.13. Non-Degrading Trust
5.13. 非退行信用
The Trust Anchor Rollover solution MUST provide sufficient means to ensure authenticity and integrity so that the existing trust relation does not degrade by performing the rollover.
Trust Anchor Rollover解決策が信憑性と保全を確実にすることができるくらいの手段を提供しなければならないので、既存の信用関係はロールオーバーを実行することによって、下がりません。
Eland, et al. Informational [Page 8] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[8ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
6. Security Considerations
6. セキュリティ問題
This document defines overall requirements for an automated specification-based Trust Anchor Rollover solution for security-aware resolvers but specifically does not define the security mechanisms needed to meet these requirements.
このドキュメントは、セキュリティ意識しているレゾルバの自動化された仕様ベースのTrust Anchor Rollover解決策のための総合的な要件を定義しますが、明確にこれらの必要条件を満たすのが必要であるセキュリティー対策は定義しません。
7. Acknowledgements
7. 承認
This document reflects the majority opinion of the DNSEXT Working Group members on the topic of requirements related to DNSSEC trust anchor rollover. The contributions made by various members of the working group to improve the readability and style of this document are graciously acknowledged.
このドキュメントはDNSSEC信用アンカーロールオーバーに関連する要件の話題に関してDNSEXT作業部会のメンバーの大多数の意見を反映します。このドキュメントの読み易さとスタイルを改良するのがワーキンググループの様々なメンバーによってされた貢献は丁重に承諾されます。
8. Normative References
8. 引用規格
[1] Bradner, S., "Key Words for Use in RFCs to Indicate Requirement
Levels", RFC 2119, March 1997.
[1] ブラドナー、S.、「使用のための要件レベルを示すRFCsのキーワード」、RFC2119、1997年3月。
[2] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
"DNS Security Introduction and Requirements", RFC 4033,
March 2005.
[2]はArendsします、R.、Austein、R.、ラーソン、M.、マッシー、D.、S.ローズと、「DNSセキュリティ序論と要件」(RFC4033)は2005を行進させます。
[3] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
"Resource Records for the DNS Security Extensions", RFC 4034,
March 2005.
[3] Arends、R.、Austein、R.、ラーソン、M.、マッシー、D.、およびS.が上昇したと「リソースはDNSセキュリティ拡張子のために記録します」、RFC4034、2005年3月。
[4] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
"Protocol Modifications for the DNS Security Extensions",
RFC 4035, March 2005.
[4] Arends(R.、Austein、R.、ラーソン、M.、マッシー、D.、およびS.ローズ)は「DNSセキュリティ拡張子のための変更について議定書の中で述べます」、RFC4035、2005年3月。
[5] Bradner, S., "Intellectual Property Rights in IETF Technology",
RFC 3979, March 2005.
[5] ブラドナー、S.、「IETF技術による知的所有権」、RFC3979、2005年3月。
Eland, et al. Informational [Page 9] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[9ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
Authors' Addresses
作者のアドレス
Howard Eland Afilias Limited 300 Welsh Road Building 3, Suite 105 Horsham, PA 19044 USA
ハワードオオカモシカアフィリアスは300のウェールズの道路建設3、Suite105ホーシャム、PA19044米国を制限しました。
EMail: heland@afilias.info
メール: heland@afilias.info
Russ Mundy SPARTA, Inc. 7110 Samuel Morse Dr. Columbia, MD 21046 USA
ラスマンディスパルタInc.7110サミュエルモースコロンビアMD21046博士(米国)
EMail: mundy@sparta.com
メール: mundy@sparta.com
Steve Crocker Shinkuro Inc. 1025 Vermont Ave, Suite 820 Washington, DC 20005 USA
Ave、スティーブ医者Shinkuro Inc.1025バーモントワシントン、スイート820DC20005米国
EMail: steve@shinkuro.com
メール: steve@shinkuro.com
Suresh Krishnaswamy SPARTA, Inc. 7110 Samuel Morse Dr. Columbia, MD 21046 USA
Suresh KrishnaswamyスパルタInc.7110サミュエルモースコロンビアMD21046博士(米国)
EMail: suresh@sparta.com
メール: suresh@sparta.com
Eland, et al. Informational [Page 10] RFC 4986 DNSSEC Trust Anchor Rollover Requirements August 2007
オオカモシカ、他 情報[10ページ]のRFC4986DNSSECは2007年8月にアンカーロールオーバー要件を信じます。
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The IETF Trust (2007).
IETFが信じる著作権(C)(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれた情報はその人が代理をするか、または(もしあれば)後援される組織、インターネットの振興発展を目的とする組織、「そのままで」という基礎と貢献者の上で提供していて、IETFはそして、インターネット・エンジニアリング・タスク・フォースがすべての保証を放棄すると信じます、急行である、または暗示していて、他を含んでいて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるということであるかいずれが市場性か特定目的への適合性の黙示的な保証です。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実現に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するためのどんな独立している努力もしました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実行するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を記述してください。
Eland, et al. Informational [Page 11]
オオカモシカ、他 情報[11ページ]
一覧
スポンサーリンク
