| 章 | 节 | 标题 | 说明 | 补充说明 | 支持级别 |
| 1 | 介绍 | 1、定义DNSSEC协议修改点 2、定义以下概念:已签名域(signed zone)和域签名的要求列表 3、描述权威域名服务器为了处理签名域的行为变化 4、描述了包括解析器在内的实体的行为 5、描述了怎样使用DNSSEC RRs去认证一个应答 |
NA | ||
| 2 | 域签名 | 介绍五种资源记录类型和签名域概念 1、DNSKEY 2、RRSIG 3、NSEC 4、DS 5、CNAME |
需要结合rfc4034一起看 | ||
| 2.1 | 包含DNSKEY的域 | ||||
| 2.2 | 包含RRSIG的域 | ||||
| 2.3 | 包含NSEC的域 | ||||
| 2.4 | 包含DS的域 | ||||
| 2.5 | CNAME资源记录的变化 | ||||
| 2.6 | 出现在域分片的DNSSEC类型 | ||||
| 3 | 命名服务器功能 | ||||
| 4 | 解析器功能 | ||||
| 4.1 | 支持EDNS | 1、解析器发送查询报文时,消息头必须支持DO比特位。 | MUST | ||
| 2、解析器必须支持最少1220字节的消息。(以前为512字节) | MUST | ||||
| 3、解析器支持应该支持4000字节的消息。 | SHOULD | ||||
| 4、解析器的IP层必须能处理UDP分片报文。 | MUST | ||||
| 4.2 | 支持签名认证 | 1、解析器必须支持签名认证。 | MUST | ||
| 2、解析器应该对每一个收到的应答应用第五章描述的签名认证机制。除了以下情况: (1)解析器是递归命名服务器的一部分 (2)应答结果告知解析器不要让这个查询结果有效或者这个查询的有效性受限于本地策略。 |
SHOULD | ||||
| 3、解析器支持的签名认证必须包括通配符主机名认证。 | MUST | ||||
| 4、解析器可以尝试让非安全记录生效,但是要声明这个接收到的应答不充分可靠。 | MAY | ||||
| 5、尝试检索丢失的NSEC时,必须向服务器查找父域而不是子域。 | 定位父域NS(权威服务器) RRset算法:从授权名开始,每次用最左边的名字去查找,遍历树结构,直到找到NS或者遍历完整棵树,过程结束。 | MUST | |||
| 6、尝试检索丢失的DS时,必须向服务器查找父域而不是子域。 | MUST | ||||
| 4.3 | 辨识数据的安全状态 | 必须能够辨识四种场景 | MUST | ||
| 1、secure场景:解析器能通过信任锚构建一个DNSKEY和DS的信任链。 处理:RRset应该被签名并受限于签名有效性。 |
MUST | ||||
| 2、Insecure场景:通过已配置的任一信任锚都无法对资源记录构建成DNSKEY和DS的信任链。 处理:RRset是否有签名都可以,但是解析器不能认证签名。 |
MUST | ||||
| 3、Bogus场景:解析器认为可以构建信任链,而实际构建不了(可能是某些原因导致签名失效或相关DNS安全RR数据丢失)。 处理:可能意味着遇到DNS攻击,也可能是配置错误或数据冲突。 |
MUST | ||||
| 4、Indeterminate场景:无法判断RRset是否应该签名(无法获得必要的DNSSEC RRs)。 处理:这种情况发生于解析器找不到识别相关域的安全服务器。 |
MUST | ||||
| 4.4 | 配置信任锚 | 1、解析器必须能配置至少一个信任锚(DNSKEY或DS)。 | MUST | ||
| 2、解析器应该支持配置多个信任锚。 | SHOULD | ||||
| 3、若没有配置信任锚,不应该使签名有效。 | SHOULD | ||||
| 4、解析器应该有合理机制在它启动时获得信任锚。 | 可以从很多公开的网站下载这些可信域的DNSKEY文件,包括: (1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月布署实施。如果DNSSEC全部布署成功,这一个公开密钥就足够了。 (2)The UCLA secspider : https://secspider.cs.ucla.edu,由美国加州大学洛杉矶分校(UCLA)张丽霞教授的实验室维护。 (3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php |
SHOULD | |||
| 4.5 | 应答缓存 | 1、解析器应当能够缓存完整应答,包括命名记录和任意DNSSEC相关的资源记录。 | SHOULD | ||
| 2、解析器应该在记录有效期满后丢弃缓存记录。 | SHOULD | ||||
| 4.6 | 处理CD、AD比特位 | 1、解析器可以在查询报文中设置CD比特位。 | CD比特位有效意味着收到的相应应答中无论认证的本地策略是什么,解析器都愿意负责。 | MAY | |
| 2、解析器必须在封装查询报文时清空AD比特位,以防止那些不理解查询消息的服务器盲目拷贝消息头。 | MUST | ||||
| 3、解析器如果不是安全环境下,必须忽视应答报文中的CD和AD比特位;或者解析器指定配置要求在非安全环境下仍要关注消息头比特位。 | MUST | ||||
| 4.7 | 缓存错误数据 | 为了预防不必要的DNS阻塞,解析器可以限制性的缓存无效签名。 | MAY | ||
| 解析器不可以从错误数据缓存中返回资源记录,除非解析器不要求使签名生效。 | MUST | ||||
| 4.8 | 综合的CNAME记录 | 解析器必须要支持处理已签名的CNAME记录。 | MUST | ||
| 4.9 | 末梢解析器 | 略 | NA |
RFC4035笔记
2014-02-27
925
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
章
节
标题
说明
补充说明
支持级别
1
介绍
1、定义DNSSEC协议修改点2、定义以下概念:已签名域(signed zone)和域签名的要求列表3、描述权威域名服务器为了处理签名域的行为变化4、描述了包括解析器在内的实体的行为5、描述了怎样使用DN...
目录
相关文章
|
10月前
|
安全
网络虚拟化
数据安全/隐私保护
|
10月前
|
监控
安全
网络架构
|
10月前
|
存储
自然语言处理
vr&ar
|
10月前
|
C++
常用日期和时间标准对比:HTML, ISO 8601, RFC 3339, RFC 5322
日期和时间,对于不同系统和平台之间的数据交换和互操作至关重要。本文将对比 HTML 标准、ISO 8601、RFC 3339 和 RFC 5322,为读者提供参考。
136
0
0
|
10月前
|
网络协议
网络架构
|
存储
监控
安全
RFC 系列文档和 RFC 编辑器的相关说明
第一个征求意见 (Request for Comments,RFC) 文档于 1969 年 4 月发布,作为设计和构建我们现在所知的互联网的努力的一部分。从那时起,RFC 系列一直是致力于记录 Internet 技术规范的档案系列,包括 Internet 研究和工程社区的一般贡献以及标准文档。
651
0
0
|
数据安全/隐私保护
数据格式
DTMF采用RFC2833进行带内传输的实现
在介绍RFC2833前,先来了解一下RTP(Real Time Protocal),该协议可参见RFC1889。RTP协议是IP电话中以及NGN中最经典的协议。无论采用H323,H248,MGCP还是SIP,这些都属于信令层的协议,他们之间进行互通、交换其最终目的是为了实现媒体流的收发。而所有的媒体流都是采用RTP协议,无论是视频,语音还是图象,包括本文所提到的DTMF都是建立在RTP的基础上的。
1978
0
0
|
索引
什么是RFC?
RFC及RFC编辑者:
RFC(Request For Comments)-意即“请求注解”,包含了关于Internet的几乎所有重要的文字资料。如果你想成为网络方面的专家,那么RFC无疑是最重要也是 最经常需要用到的资料之一,所以RFC享有网络知识圣经之美誉。
1953
0
0
|
缓存
安全
网络协议
RFC4035笔记
983
0
0
热门文章
最新文章
1
错误”ORA-12560: TNS: 协议适配器错误“解决方法
2
Mac 上 iterm2 和 VSCode 终端中的字体设置建议
3
不了解 QPS、TPS、RT、并发数、吞吐量,劝你简历别写熟悉高并发
4
信用算力基于 RocketMQ 实现金融级数据服务的实践
5
重磅!阿里巴巴所有产品未来将接入大模型全面升级
6
阿里云服务器价格表2022更新(多CPU内存配置报价)
7
Python参数配置库ConfigParser详解
8
快看Sample代码,速学Swift语言(2)-基础介绍
9
从Edge看中小企业IT服务发展趋势
10
《CISSP认证视频》(Shon Harris CISSP Training 2007 Platinum)CSH.CISSP.2007 铂金版 完结[ISO]
1
算法系列之深度优先搜索寻找妖怪和尚过河问题的所有方式
52
2
【阿里云】操作系统控制台深度体验与性能测评
49
3
二、搭建MyBatis采用xml方式,验证CRUD(增删改查操作)
36
4
《解锁指令工程:重塑你的技术身份!》
42
5
《DeepSeek三阶训练法:在文化创作模型中舞动套路与创新之弦》
42
6
《DeepSeek-R1 “人性化”交互:情感计算是幕后真英雄》
37
7
《代码生成中梯度对齐的普适性探索:余弦相似度阈值0.92是万能钥匙!》
33
8
《DeepSeek-V3:动态温度调节算法,开启推理新境界!》
45
9
window系统下安装elk
52
10
【硬件测试】基于FPGA的16QAM调制+软解调系统开发与硬件片内测试,包含信道模块,误码统计模块,可设置SNR
29