Đang tải... (xem toàn văn)
TCVN 11818:2017 được xây dựng trên cơ sở tham khảo tiêu chuẩn IETF RFC 4035 (03-2005). TCVN 11818:2017 do Viện Khoa học Kỹ thuật Bưu Điện biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. Tiêu chuẩn này đưa ra các thay đổi trong giao thức đối với phần mở rộng bảo mật hệ thống tên miền (DNSSEC).
TIÊU CHUẨN QUỐC GIA TCVN 11818:2017 AN TOÀN HỆ THỐNG BẢO MẬT DNS (DNSSEC) THAY ĐỔI TRONG GIAO THỨC The DNS security extensions - Protocol modifications Lời nói đầu TCVN 11818:2017 xây dựng sở tham khảo tiêu chuẩn IETF RFC 4035 (03-2005) TCVN 11818:2017 Viện Khoa học Kỹ thuật Bưu Điện biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ cơng bố AN TỒN HỆ THỐNG BẢO MẬT DNS (DNSSEC) THAY ĐỔI TRONG GIAO THỨC The DNS security extensions - Protocol modifications Phạm vi áp dụng Tiêu chuẩn đưa thay đổi giao thức phần mở rộng bảo mật hệ thống tên miền (DNSSEC) Tài liệu viện dẫn Tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn không ghi năm công bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) RFC1034, Domain names - Concepts and facilities (11-1987) (Tên miền - Các khái niệm tính năng) RFC1035, Domain names - Implementation and specification (11-1987) (Tên miền - Cài đặt đặc tính) RFC 1122, Requirements for Internet Hosts - Communication Layers (10-1989) (Yêu cầu máy chủ Internet - Lớp truyền tin) RFC2181, Clarifications to the DNS Specification (07-1997) (Làm rõ đặc tính DNS) RFC2460, Internet Protocol, Version (IPv6) Specification (12-1998) (Giao thức Internet, Đặc tính IPv6) RFC2671, Extension Mechanisms for DNS (EDNS0) (08-1999) (Cơ chế mở rộng cho DNS (EDNS0)) RFC2672, Non-Terminal DNS Name Redirection (08-1999) (Đổi hướng tên DNS không kết cuối) RFC 3225, Indicating Resolver Support of DNSSEC (12-2001) (Hỗ trợ Resolver thị DNSSEC) RFC3226, DNSSEC and IPv6 A6 aware server/resolver message size requirements (12-2001), (DNSSEC Các u cầu kích thước thơng báo sever/resolver aware) RFC4033, DNS Security Introduction and Requirements (03-2005) (Yêu cầu giới thiệu bảo mật DNS) RFC4034, Resource Records for DNS Security Extensions (03-2005) (Bản ghi tài nguyên cho phần mở rộng bảo mật DNS) RFC2535, Domain Name System Security Extensions (03-1999) (Phần mở rộng bảo mật hệ thống tên miền) RFC3655, Redefinition of DNS Authenticated Data (AD) bit (11-2003) (Xác định lại bít Dữ liệu xác thực DNS (AD)) Thuật ngữ, ký hiệu chữ viết tắt 3.1 Thuật ngữ Tiêu chuẩn sử dụng thuật ngữ sau: 3.1.1 BAD cache Bộ nhớ liệu có chữ ký khơng hợp lệ 3.1.2 Cơ lập bảo mật (Island of Security) Zone ký, ủy quyền khơng có chuỗi xác thực từ zonecha nó, khơng có ghi DS chứa mã Hash ghi DNSKEY cho phần riêng biệt zonecha ủy quyền (xem [RFC 4034]) Một cô lập bảo mật cấp phát Security-Aware Name Server, cung cấp chuỗi xác thực cho zone ủy quyền Hồi đáp từ lập bảo mật phần xác thực có phương pháp đáng tin cậy băng từ giao thức DNS xác thực khóa xác thực 3.1.3 Bộ phân giải gốc bảo mật - nhận biết không hiệu lực (Non-Validating Security-Aware Stub Resolver) Một phân giải gốc bảo mật-nhận biết tin tưởng nhiều máy chủ tên miền đệ quy bảo mậtnhận biết thực hầu hết công việc nói đến tiêu chuẩn thiết lập đại diện Nói chung, phân giải gốc bảo mật-nhận biết không hiệu lực gửi câu hỏi DNS, nhận phản hồi DNS thiết lập phù hợp với bảo mật kênh cho máy chủ tên miền đệ quy bảo mật-nhận biết cung cấp dịch vụ thay cho phân giải bảo mật-nhận biết 3.1.4 Bộ phân giải gốc không hiệu lực (Non-Validating stub Resolver) Một thuật ngữ dùng để mô tả phân giải gốc bảo mật-nhận biết không hiệu lực 3.1.5 Phần mở rộng bảo mật hệ thống tên miền (DNSSEC) Tập hợp ghi tài nguyên thay đổi giao thức để bổ sung xác thực nguồn gốc liệu toàn vẹn liệu cho DNS 3.1.6 Root Zone Zone Root 3.1.7 Máy chủ tên miền bảo mật-nhận biết (Security-Aware Name Server) Phần mở rộng bảo mật DNS quy định tiêu chuẩn đóng vai trị máy chủ tên miền (quy định mục 2.4 [RFC 1034]) Đặc biệt máy chủ tên miền bảo mật-nhận biết nhận truy vấn DNS, gửi phản hồi DNS, hỗ trợ phần mở rộng kích thước thơng báo EDNSO bít DO hỗ trợ loại RR bít tiêu đề thơng báo quy định [RFC 4033] 3.1.8 Máy chủ tên miền đệ quy bảo mật-nhận biết (Security-Aware Recursive Name Server) Một đơn vị có tác động máy chủ tên miền bảo mật-nhận biết vai trò máy chủ bảo mậtnhận biết 3.1.9 Bộ phân giải bảo mật-nhận biết (Security-Aware Resolver) Phần mở rộng bảo mật DNS quy định [RFC 4033] hoạt động vai trò phân giải (quy định mục 2.4 [RFC 1034]) Đặc biệt, phân giải bảo mật-nhận biết gửi truy vấn DNS, nhận phản hồi DNS, hỗ trợ phần mở rộng kích thước thơng báo EDNS0 bít DO sử dụng loại RR bít tiêu đề thơng báo quy định [RFC 4033] để cung cấp máy chủ DNSSEC 3.1.10 Bộ phân giải gốc bảo mật-nhận biết (Security-Aware Stub Resolver) Một đơn vị hoạt động vai trò phân giải gốc (quy định mục 5.3.1 [RFC 2034]) nhận biết phần mở rộng bảo mật DNS quy định [RFC 4033] thiết lập để cung cấp dịch vụ kèm theo khơng có sẵn từ phân giải gốc bảo mật-khơng cịn biết đến Các phân giải gốc bảo mật-nhận biết “chứng thực” “không chứng thực”, tùy thuộc vào phân giải gốc cố gắng xác minh chữ ký DNSSEC kỳ vọng máy chủ tên miền bảo mậtnhận biết thân thiết 3.1.11 Bảo mật-khơng cịn biết đến < > (Security-Oblivious ) Là khái niệm trái ngược với bảo mật-nhận biết, nghĩa không biết, không hỗ trợ bảo mật-nhận biết DNSSEC 3.1.12 Zone ký (Signed Zone) Một zone có tập ghi tài ngun ký chứa khóa cơng khai DNS (DNSKEY), chữ ký ghi tài nguyên (RRSIG), bảo mật (NSEC) tùy chọn ghi tài nguyên ký chuyển giao (DS) 3.1.13 Điểm tin cậy Trust Anchor (Trust Anchor) Một tập ghi tài nguyên DNSKEY cấu hình mã băm DS RR tập ghi tài nguyên DNSKEY Một phân giải bảo mật-nhận biết sử dụng khóa cơng khai mã băm điểm bắt đầu cho việc xây dựng chuỗi xác thực cho phản hồi DNS ký Nói chung, phân giải chứng thực phải đạt giá trị ban đầu điểm tin cậy Trust Anchor thơng qua số bảo mật giá trị trung bình có độ tin cậy bên giao thức DNS Điểm tin cậy Trust Anchor thể việc phân giải đoán trước vùng để điểm tin cậy Trust Anchor ký 3.1.14 Zone chưa ký (Unsigned Zone) Là khái niệm trái ngược Zone ký 3.1.15 Chứng thực phân giải gốc bảo mật-nhận biết (Validating Security-Aware stub Resolver) Một phân giải bảo mật-nhận biết gửi truy vấn chế độ đệ quy thực ký xác nhận riêng thay tìm kiếm điểm tin cậy máy chủ tên miền đệ quy bảo mật-nhận biết theo chiều ngược lại 3.1.16 Đỉnh vùng (Zone Apex) Khái niệm tương đồng với định nghĩa điểm chuyển giao Thuật ngữ dùng để mơ tả tên miền phía phân vùng mặt cắt vùng 3.1.17 Zone Cut Ranh giới zone Ranh giới chia tách zone (ở bên ranh giới) zonecha (ở bên ranh giới) (RFC 2181) 3.1.18 Zone Key Khóa zone 3.1.19 Zone Transfer Chuyển thông tin tên miền zone 3.1.20 Zone Phần liên tục riêng biệt không gian tên miền hệ thống DNS 3.2 Ký hiệu Theo mục đích tiêu chuẩn này, ký tự sau áp dụng: “I” toán tử ghép 3.3 Chữ viết tắt Theo mục đích tiêu chuẩn này, chữ viết tắt sau áp dụng: AD Dữ liệu chứng thực Authentic Data AXFR Đồng toàn phần Full Zone Transfer/ Authoritative Transfer CD Kiểm tra vơ hiệu hóa Checking Disabled CNAME Tên miền tắc Canonical Name DNAME Tên miền chuyển giao Delegation Name DNS Hệ thống tên miền Domain Name System DNSKEY Khóa cơng khai DNS DNS Public KEY DNSSEC Phần mở rộng bảo mật DNS DNS Security Extensions DO DNSSEC OK DS Ký chuyển giao Delegation Signer EDNS Các chế mở rộng cho DNS Extension Mechanisms for DNS IANA Tổ chức cấp phát số hiệu Internet Internet Assigned Numbers Authority IXFR Đồng phần Incremental Zone Transfer NS Máy chủ tên miền Name Server NSEC Bảo mật Next Secure OPT Tùy chọn Option QCLASS Lớp truy vấn Query CLASS QNAME Tên miền đích Qualified NAME (a target domain name) QTYPE Loại truy vấn Query TYPE RCODE Mã trả lời Response CODE RDATA Dữ liệu thay Repair DATA RR Bản ghi tài nguyên Resource Record RRSIG Chữ ký ghi tài nguyên Resource Record Signature SCLASS QCLASS truy vấn tìm kiếm the QCLASS of the search request SNAME Tên miền cần tìm kiếm the domain name we are searching for SOA (Bản ghi tài nguyên) xuất phát (của Start of (a zone of) Authority zone) có thẩm quyền STYPE QTYPE truy vấn tìm kiếm the QTYPE of the search request TC Bị cắt Truncated TTL Thời gian tồn Time to Live Ký zone DNSSEC đưa khái niệm Zone ký (Signed Zone) Zone ký có khóa cơng khai DNS (DNSKEY), chữ ký ghi tài nguyên (RRSIG), bảo mật (NSEC) tùy chọn ghi tài nguyên ký chuyển giao (DS) tùy theo nguyên tắc quy định mục 4.1, 4.2, 4.3 4.4 tương ứng Zone ghi tài nguyên theo nguyên tắc mục zone chưa ký DNSSEC yêu cầu thay đổi định nghĩa ghi tài nguyên CNAME [RFC 1035] Mục 4.5 thay đổi ghi tài nguyên CNAME phép ghi tài nguyên RRSIG NSEC xuất tên miền chủ giống ghi tài nguyên CNAME DNSSEC quy định vị trí hai loại ghi tài nguyên mới, NSEC DS Các ghi tài ngun đặt phía cha zone cut (tức điểm chuyển giao) Điều ngoại lệ việc cấm đưa liệu zonecha zone cut Mục 4.6 trình bày thay đổi 4.1 Các ghi tài nguyên DNSKEY zone Để ký zone, người quản trị zone tạo nhiều cặp khóa cơng khai/riêng sử dụng (các) khóa riêng để ký tập ghi tài nguyên có thẩm quyền zone Đối với khóa riêng sử dụng để tạo ghi tài nguyên RRSIG zone, zone nên có ghi tài nguyên DNSKEY zone chứa khóa cơng khai tương ứng Bản ghi tài ngun DNSKEY chứa khóa cơng khai zone phải có bit khóa cơng khai zone thuộc trường Flags RDATA thiết lập (xem mục 2.1.1 RFC 4034) Các khóa cơng khai liên kết với hoạt động DNS khác chứa ghi tài nguyên DNSKEY không xác định khóa cơng khai zone khơng sử dụng để kiểm tra RRSIG Nếu người quản trị có ý định sử dụng zone ký mức độ cao (đã ký zone chưa chuyển giao chuỗi xác thực từ zonecha) zone apex phải bao gồm ghi tài nguyên DNSKEY hoạt động điểm truy nhập bảo mật zone Do đó, điểm truy nhập bảo mật sử dụng làm đích chuyển giao bảo mật thông qua ghi tài nguyên DS tương ứng zonecha (xem RFC 4034) 4.2 Các ghi tài nguyên RRSIG zone Đối với tập ghi tài nguyên có thẩm quyền Zone ký, phải có ghi tài nguyên RRSIG đáp ứng yêu cầu sau: - Tên miền chủ RRSIG giống tên miền chủ tập ghi tài nguyên - Lớp RRSIG giống lớp tập ghi tài nguyên - Trường RRSIG Type Covered giống loại tập ghi tài nguyên - Trường RRSIG Original TTL giống TTL tập ghi tài nguyên - TTL ghi tài nguyên RRSIG giống TTL tập ghi tài nguyên - Trường RRSIG Labels giống số nhãn tên miền chủ tập ghi tài ngun này, khơng tính nhãn null root nhãn phía trái ngồi ký tự đại diện - Trường Name RRSIG Signer giống tên miền zone chứa tập ghi tài nguyên - Các trường RRSIG Algorithm, Name Signer Key Tag giống ghi tài ngun DNSKEY chứa khóa cơng khai zone zone apex Quá trình xây dựng ghi tài nguyên RRSIG tập ghi tài nguyên cho trước trình bày RFC 4034 Một tập ghi tài nguyên có nhiều ghi tài nguyên RRSIG liên kết với Lưu ý rằng, ghi tài ngun RRSIG liên kết chặt với tập ghi tài nguyên mà bao gồm chữ ký chúng, nên ghi tài nguyên RRSIG không giống tất loại ghi tài ngun DNS khác, khơng có tập ghi tài nguyên (RRset) Trong đó, giá trị TTL ghi tài nguyên RRSIG với tên miền chung không tuân theo quy tắc tập ghi tài nguyên trình bày RFC 2181 Một ghi tài ngun RRSIG khơng tự ký việc ký ghi tài nguyên RRSIG giá trị tạo vịng lặp khơng xác định trình ký Tập ghi tài nguyên NS xuất tên miền zone apex phải ký tập ghi tài nguyên NS xuất điểm chuyển giao (tức tập ghi tài nguyên NS zonecha mà chuyển giao tên miền cho máy chủ tên miền zone con) không ký Các tập ghi tài nguyên liên kết với chuyển giao (glue address) khơng ký Phải có RRSIG tập ghi tài nguyên sử dụng DNSKEY thuật toán tập ghi tài nguyên DNSKEY zone apex, tập ghi tài nguyên DNS zone apex phải tự ký thuật toán xuất tập ghi tài nguyên DS đặt phía cha chuyển giao (nếu có) 4.3 Các ghi tài nguyên NSEC zone Mỗi tên miền chủ zone có liệu có thẩm quyền tập ghi tài nguyên NS điểm chuyển giao phải có ghi tài nguyên NSEC Định dạng ghi tài nguyên NSEC trình xây dựng ghi tài nguyên NSEC tên miền cho trước trình bày RFC 4034 Giá trị TTL ghi tài nguyên NSEC nên giống trường giá trị TTL tối thiểu ghi tài nguyên SOA zone Một ghi tài nguyên NSEC (và tập ghi tài nguyên RRSIG nó) phải khơng tập ghi tài nguyên tên miền chủ cụ thể Đó là, q trình ký khơng tạo ghi tài nguyên NSEC RRSIG node tên miền chủ mà chưa phải tên miền chủ tập ghi tài nguyên nào, trước zone ký Lý điều muốn quán không gian tên miền phiên ký không ký zone, làm giảm nguy phản hồi mâu thuẫn máy chủ đệ quy khơng có bảo mật Ánh xạ loại ghi tài nguyên NSEC Zone ký phải có mặt ghi tài ngun NSEC ghi tài nguyên RRSIG tương ứng Sự khác tên miền chủ có yêu cầu ghi tài nguyên RRSIG tên miền chủ có yêu cầu ghi tài nguyên NSEC tinh vi đáng nêu rõ Các ghi tài nguyên RRSIG có tên miền chủ tất tập ghi tài nguyên có thẩm quyền Các ghi tài nguyên NSEC có tên miền chủ tất tên miền mà Zone ký có thẩm quyền chúng tên miền chủ chuyển giao từ Zone ký sang zone Các ghi tài ngun NSEC RRSIG khơng có (trong zonecha) tên miền chủ tập ghi tài nguyên địa liên kết Tuy nhiên, ý khác biệt phần dễ thấy trình ký zone tập ghi tài nguyên NSEC liệu có thẩm quyền ký Do đó, tên miền chủ có tập ghi tài nguyên NSEC có ghi tài nguyên RRSIG Zone ký Việc ánh xạ ghi tài nguyên NSEC điểm chuyển giao yêu cầu quan tâm đặc biệt Các bít tương ứng tập ghi tài nguyên NS chuyển giao tập ghi tài nguyên mà zonecha có liệu có thẩm quyền chúng phải thiết lập; bit tương ứng tập ghi tài ngun khơng NS mà phía cha khơng có thẩm quyền chúng phải xóa 4.4 Các ghi tài nguyên DS zone Bản ghi tài nguyên DS thiết lập chuỗi xác thực zone DNS Tập ghi tài nguyên DS nên có điểm chuyển giao zone ký Tập ghi tài nguyên DS chứa nhiều ghi tài nguyên, ghi tài nguyên tham chiếu đến khóa cơng khai zone sử dụng để kiểm tra RRSIG zone Tất tập ghi tài nguyên DS zone phải ký tập ghi tài nguyên DS không xuất zone apex Một ghi tài nguyên DS nên đến ghi tài nguyên DNSKEY có tập ghi tài nguyên DNSKEY zone apex phía tập ghi tài nguyên DNSKEY zone apex phía nên ký khóa riêng tương ứng Các ghi tài nguyên DS không đáp ứng điều kiện không dùng để xác nhận ghi tài nguyên DS ghi tài nguyên DNSKEY tương ứng zone khác DNS khơng quy định rõ, điểm khơng thống tạm thời xảy TTL tập ghi tài nguyên DS nên phù hợp TTL tập ghi tài nguyên NS chuyển giao (tức tập ghi tài nguyên NS zone chứa tập ghi tài nguyên DS) Việc xây dựng ghi tài nguyên DS yêu cầu hiểu biết ghi tài nguyên DNSKEY tương ứng zone con, điều mối liên hệ zonecha Mối liên hệ vấn đề vận hành không đề cập tiêu chuẩn 4.5 Những thay đổi ghi tài nguyên CNAME Khi tập ghi tài nguyên CNAME có tên miền Zone ký, phải có tập ghi tài nguyên RRSIG NSEC tương ứng tên miền Đồng thời cho phép tập ghi tài nguyên KEY tên miền để cập nhật bảo mật động (RFC 3007) Các loại khác tên miền Điều thay đổi so với định nghĩa gốc CNAME RFC 1034 Định nghĩa gốc ghi tài nguyên CNAME không cho phép loại khác xuất với ghi tài nguyên CNAME Zone ký yêu cầu ghi tài nguyên NSEC RRSIG tên miền có thẩm quyền Để giải điểm không đồng này, tiêu chuẩn thay đổi định nghĩa ghi tài nguyên CNAME phép xuất với ghi tài nguyên NSEC RRSIG 4.6 Các loại ghi tài nguyên DNSSEC xuất zone cut DNSSEC đưa hai loại ghi tài nguyên thường xuất phía cha mặt cắt Ở phía cha zone cut (tức điểm chuyển giao), yêu cầu ghi tài nguyên NSEC tên miền chủ Một ghi tài nguyên DS có zone chuyển giao ký cố gắng có chuỗi xác thực zonecha Điều ngoại lệ tiêu chuẩn DNS gốc (RFC 1034), quy định tập ghi tài nguyên NS xuất phía cha zone cut 4.7 Ví dụ zone có bảo mật Phụ lục A trình bày ví dụ hồn chỉnh Zone ký nhỏ Hoạt động Mục quy định hoạt động phần tử có chức Security-Aware Name Server Trong nhiều trường hợp, chức thuộc Security-Aware Recursive Name Server máy chủ tên miền có thẩm quyền có bảo mật có số yêu cầu tương tự Các chức quy định Security-Aware Recursive Name Server trình bày mục 5.2; chức quy định máy chủ có thẩm quyền trình bày mục 5.1 Trong phần tiếp theo, thuật ngữ “SNAME”, “SCLASS" “STYPE” tham chiếu theo RFC 1034 Security-Aware Name Server phải hỗ trợ EDNS0 (RFC 2671) phần mở rộng kích cỡ tin phải hỗ trợ kích cỡ tin tối thiểu 1220 octet nên hỗ trợ kích cỡ tin 4000 octet Vì gói tin IPv6 máy tính chủ nguồn phân đoạn, Security-Aware Name Server nên thực bước để đảm bảo gói thơng tin UDP truyền qua IPv6 phân đoạn mức MTU IPv6 tối thiểu cần biết MTU tuyến Tham khảo RFC 1122, RFC 2460 RFC 3226 vấn đề phân đoạn kích cỡ gói tin Một Security-Aware Name Server nhận truy vấn DNS không chứa EDNS OPT giả-bản ghi tài nguyên có bit DO trống phải đáp ứng ghi tài nguyên RRSIG, DNSKEY NSEC đáp ứng tập ghi tài nguyên khác không thực hành động bổ sung trình bày Vì loại ghi tài ngun DS có thuộc tính khác thường xuất zonecha điểm chuyển giao, ghi tài nguyên DS luôn yêu cầu hành động đặc biệt trình bày mục 5.1.4.1 Các Security-Aware Name Server nhận truy vấn rõ ràng loại ghi tài nguyên bảo mật phù hợp nội dung nhiều zone mà phục vụ (ví dụ ghi tài nguyên NSEC RRSIG điểm chuyển giao nơi máy chủ có thẩm quyền hai zone) nên hành xử quán Máy chủ tên miền trả nội dung sau miễn trả lời quán truy vấn đến máy chủ tên miền này: - Các tập ghi tài nguyên điểm chuyển giao - Các tập ghi tài nguyên điểm chuyển giao - Cả hai tập ghi tài nguyên điểm chuyển giao - Phần trả lời trống (khơng có ghi tài ngun) - Một trả lời khác - Một lỗi DNSSEC phân bố hai bít phần mào đầu tin DNS: bit CD (Checking Disabled) bit AD (Authentic Data) Bit CD Resolver điều khiển; Security-Aware Name Server phải chép bit CD từ truy vấn thành trả lời tương ứng Bit AD máy chủ tên miền điều khiển; Security-Aware Name Server phải bỏ qua việc thiết lập bit AD truy vấn Xem mục 5.1.6, 5.2.2, 5.2.3, 6.9 hành vi bit Security-Aware Name Server đồng ghi tài nguyên CNAME từ ghi tài nguyên DNAME trình bày RFC 2672 không nên tạo chữ ký ghi tài nguyên CNAME đồng 5.1 Các máy chủ tên miền có thẩm quyền Dựa vào việc nhận truy vấn liên quan có bit DO EDNS OPT giả-bản ghi tài nguyên (RFC 2671) thiết lập, máy chủ tên miền có thẩm quyền có bảo mật Zone ký phải chứa ghi tài nguyên RRSIG, NSEC DS bổ sung tuân theo nguyên tắc sau: - Các ghi tài nguyên RRSIG sử dụng để xác thực trả lời phải chứa trả lời tuân theo nguyên tắc mục 5.1.1 - Các ghi tài nguyên NSEC sử dụng để cung cấp xác nhận từ chối tồn phải chứa trả lời tuân theo cách tự động nguyên tắc mục 5.1.3 - Tập ghi tài nguyên DS ghi tài nguyên NSEC ghi tài nguyên DS tồn phải chứa tham chiếu cách tự động tuân theo nguyên tắc mục 5.1.4 Các nguyên tắc áp dụng cho trả lời cú pháp truyền thơng tin có khơng có ghi tài ngun Do đó, nguyên tắc không đưa trả lời giống “Không thực hiện” RCODE hay “Bị từ chối” RCODE DNSSEC không thay đổi giao thức DNS zone transfer Mục 5.1.5 trình bày yêu cầu zone transfer 5.1.1 Các ghi tài nguyên RRSIG trả lời Khi trả lời truy vấn có bit DO thiết lập, máy chủ tên miền có thẩm quyền có bảo mật nên cố gắng gửi ghi tài nguyên RRSIG mà Security-Aware Resolver sử dụng để xác thực tập ghi tài nguyên trả lời Một máy chủ tên miền nên thực cố gắng để giữ tập ghi tài nguyên (các) RRSIG liên kết trả lời Việc chứa ghi tài nguyên RRSIG trả lời tuân theo nguyên tắc sau: - Khi đặt tập ghi tài nguyên ký phần trả lời, máy chủ tên miền phải đặt ghi tài nguyên RRSIG phần trả lời Các ghi tài nguyên RRSIG có mức ưu tiên bao hàm cao tập ghi tài nguyên khác phải bao hàm Khi không gian không cho phép bao hàm ghi tài nguyên RRSIG này, máy chủ tên miền phải thiết lập bit TC - Khi đặt tập ghi tài nguyên ký phần thẩm quyền, máy chủ tên miền phải đặt ghi tài nguyên RRSIG phần thẩm quyền ghi tài nguyên RRSIG có mức ưu tiên bao hàm cao tập ghi tài nguyên khác phải bao hàm Khi không gian không cho phép bao hành ghi tài nguyên RRSIG này, máy chủ tên miền phải thiết lập bit TC - Khi đặt tập ghi tài nguyên ký phần bổ sung, máy chủ tên miền phải đặt ghi tài nguyên RRSIG phần bổ sung Khi không gian không cho phép bao hàm tập ghi tài nguyên ghi tài nguyên RRSIG liên kết nó, máy chủ tên miền giữ lại tập ghi tài nguyên thả ghi tài nguyên RRSIG Khi điều xảy ra, máy chủ tên miền không thiết lập bit TC ghi tài nguyên RRSIG không phù hợp 5.1.2 Các ghi tài nguyên DNSKEY trả lời Khi trả lời truy vấn có bit DO thiết lập yêu cầu ghi tài nguyên SOA NS zone apex ký, máy chủ tên miền có thẩm quyền có bảo mật zone trả tập ghi tài nguyên DNSKEY zone apex phần bổ sung Trong trường hợp này, tập ghi nguyên DNSKEY ghi tài nguyên RRSIG liên kết có mức ưu tiên thấp thông tin khác đặt phần bổ sung Máy chủ tên miền không nên bao hàm tập ghi tài nguyên DNSKEY trừ có đủ không gian tin trả lời dành cho tập ghi tài nguyên DNSKEY (các) ghi tài ngun RRSIG liên kết Khi khơng có đủ không gian để bao hàm DNSKEY ghi tài nguyên RRSIG này, máy chủ tên miền phải loại bỏ chúng không thiết lập bit TC ghi tài ngun khơng phù hợp (xem mục 5.1.1) 5.1.3 Các ghi tài nguyên NSEC trả lời Khi trả lời truy vấn có bit DO thiết lập, máy chủ tên miền có thẩm quyền có bảo mật zone phải bao hàm ghi tài nguyên NSEC trong trường hợp sau: Khơng có liệu: Zone chứa tập ghi tài nguyên phù hợp hồn tồn khơng chứa tập ghi tài nguyên phù hợp hoàn toàn Lỗi tên miền: Zone không chứa tập ghi tài nguyên phù hợp cách hồn tồn thơng qua phần mở rộng tên miền ký tự đại diện Trả lời ký tự đại diện: Zone không chứa tập ghi tài nguyên phù hợp hoàn toàn chứa tập ghi tài nguyên phù hợp thông qua phần mở rộng tên miền ký tự đại diện Khơng có liệu ký tự đại diện: Zone không chứa tập ghi tài nguyên phù hợp hoàn toàn chứa nhiều tập ghi tài nguyên phù hợp thông qua phần mở rộng tên miền ký tự đại diện không chứa tập ghi tài nguyên phù hợp thông qua phần mở rộng tên miền ký tự đại diện Trong trường hợp này, máy chủ tên miền bao hàm ghi tài nguyên NSEC trả lời để phù hợp hoàn toàn khơng có zone trả lời máy chủ tên miền trả với liệu zone 5.1.3.1 Các ghi tài nguyên NSEC: Trả lời khơng có liệu Khi zone chứa tập ghi tài nguyên phù hợp không chứa tập ghi tài nguyên phù hợp máy chủ tên miền phải bao hàm ghi tài nguyên NSEC dành cho với (các) ghi tài nguyên RRSIG liên kết phần thẩm quyền trả lời (xem mục 5.1.1) Khi không gian không cho phép bao hàm ghi tài nguyên NSEC (các) ghi tài nguyên RRSIG liên kết nó, máy chủ tên miền phải thiết lập bit TC (xem mục 5.1.1) Khi tên miền tìm kiếm tồn tại, phần mở rộng tên miền ký tự đại diện không áp dụng truy vấn ghi tài nguyên NSEC ký đủ để loại ghi tài nguyên yêu cầu không tồn 5.1.3.2 Các ghi tài nguyên NSEC: Trả lời lỗi tên miền Khi zone không chứa tập ghi tài ngun phù hợp hồn tồn thơng qua phần mở rộng tên miền ký tự đại diện máy chủ tên miền phải bao hàm ghi tài nguyên NSEC sau phần thẩm quyền với ghi tài nguyên RRSIG liên kết nó: - Một ghi tài nguyên NSEC khơng có phù hợp hồn tồn dành cho - Một ghi tài nguyên NSEC zone không chứa tập ghi tài nguyên phù hợp thông qua phần mở rộng tên miền ký tự đại diện Trong số trường hợp, ghi tài nguyên NSEC hai điều Khi đó, máy chủ tên miền nên bao hàm ghi tài nguyên NSEC (các) ghi tài nguyên RRSIG phần thẩm quyền Khi không gian không cho phép bao hàm ghi tài nguyên NSEC RRSIG này, máy chủ tên miền phải thiết lập bit TC (xem mục 5.1.1) Các tên miền chủ ghi tài nguyên NSEC RRSIG không phụ thuộc vào phần mở rộng tên miền ký tự đại diện ghi tài nguyên bao hàm phần thẩm quyền trả lời Chú ý dạng trả lời bao hàm trường hợp SNAME tương ứng tên miền trống không kết thúc zone (một tên miền khơng tên miền chủ tập ghi tài nguyên tên miền cha nhiều tập ghi tài nguyên) 5.1.3.3 Các ghi tài nguyên NSEC: Trả lời trả lời ký tự đại diện Khi zone không chứa tập ghi tài nguyên phù hợp hoàn toàn chứa tập ghi tài nguyên phù hợp thông qua phần mở rộng tên miền ký tự đại diện, máy chủ tên miền phải chứa trả lời có phần mở rộng ký tự đại diện ghi tài nguyên RRSIG có phần mở rộng ký tự đại diện tương ứng phần trả lời phải chứa phần thẩm quyền ghi tài nguyên NSEC (các) ghi tài nguyên RRSIG tương ứng zone không chứa phù hợp gần với Khi không gian không cho phép bao hàm trả lời, ghi tài nguyên NSEC RRSIG, máy chủ tên miền phải thiết lập bit TC (xem mục 5.1.1) 5.1.3.4 Các ghi tài ngun NSEC: Trả lời khơng có liệu ký tự đại diện Trường hợp kết hợp trường hợp trước Zone không chứa phù hợp hoàn toàn zone chứa tập ghi tài nguyên phù hợp thông qua phần mở rộng ký tự đại diện, khơng có tập ghi tài nguyên phù hợp STYPE Máy chủ tên miền phải bao hàm ghi tài nguyên NSEC sau phần thẩm quyền với ghi tài nguyên RRSIG liên kết chúng: - Một ghi tài ngun NSEC khơng có tập ghi tài nguyên phù hợp STYPE tên miền chủ ký tự đại diện mà phù hợp thông qua phần mở rộng ký tự đại diện - Một ghi tài ngun NSEC khơng có tập ghi tài nguyên zone phù hợp gần với Trong số trường hợp, ghi tài nguyên NSEC đơn hai điều Khi đó, máy chủ tên miền nên bao hàm ghi tài nguyên NSEC (các) ghi tài nguyên RRSIG phần thẩm quyền Tên miền chủ ghi tài nguyên NSEC RRSIG không phụ thuộc vào phần mở rộng tên miền ký tự đại diện ghi tài nguyên bao hàm phần thẩm quyền trả lời Khi không gian không cho phép bao hàm ghi tài nguyên NSEC RRSIG này, máy chủ tên miền phải thiết lập bit TC (xem mục 5.1.1) 5.1.3.5 Tìm ghi tài nguyên NSEC Như trình bày trên, có số tình máy chủ tên miền có thẩm quyền có bảo mật phải đặt ghi tài nguyên NSEC để khơng có tập ghi tài ngun phù hợp SNAME cụ thể có Việc đặt ghi tài nguyên NSEC zone có thẩm quyền tương đối đơn giản, mặt khái niệm Phần thảo luận sau giả thiết máy chủ tên miền có thẩm quyền zone chứa tập ghi tài nguyên không tồn phù hợp SNAME Thuật toán sau viết để làm rõ dù khơng hiệu Để tìm NSEC khơng có tập ghi tài ngun phù hợp tên miền N tồn zone Z chứa chúng, xây dựng câu S bao gồm tên miền chủ tập ghi tài nguyên Z, xếp theo thứ tự tắc (RFC 4034) khơng có tên miền trùng lặp Tìm tên miền M đứng trước N S tập ghi tài nguyên có tên miền chủ N tồn M tên miền chủ ghi tài ngun NSEC khơng có tập ghi tài nguyên tồn có tên miền chủ N Thuật tốn tìm ghi tài ngun NSEC tên miền cho trước không ký tự đại diện áp dụng che đậy tương tự yêu cầu thêm bước Nói cách xác hơn, thuật tốn tìm NSEC khơng tập ghi tài nguyên tồn có tên miền ký tự đại diện áp dụng giống thuật tốn tìm ghi tài nguyên NSEC tập ghi tài nguyên có tên miền chủ khác không tồn Phần thiếu phương pháp xác định tên miền ký tự đại diện áp dụng không tồn Thực tế, điều dễ dàng máy chủ tên miền có thẩm quyền tìm kiếm có mặt tên miền ký tự đại diện phần bước (1) (c) thuật tốn tìm kiếm chuẩn trình bày mục 4.3.2 RFC 1034 5.1.4 Các ghi tài nguyên DS trả lời Khi trả lời truy vấn có bít DO thiết lập, máy chủ tên miền có thẩm quyền có bảo mật trả tham chiếu bao hàm liệu DNSSEC với tập ghi tài nguyên NS Khi tập ghi tài nguyên DS có điểm chuyển giao, máy chủ tên miền phải trả tập ghi tài nguyên DS (các) ghi tài nguyên RRSIG liên kết phần thẩm quyền với tập ghi tài nguyên NS Khi khơng có tập ghi tài ngun DS điểm chuyển giao, máy chủ tên miền phải trả ghi tài nguyên NSEC tập ghi tài ngun DS khơng có (các) ghi tài nguyên RRSIG liên kết ghi tài nguyên NSEC với tập ghi tài nguyên NS Máy chủ tên miền phải đặt tập ghi tài nguyên NS trước tập ghi tài nguyên NSEC (các) ghi tài nguyên RRSIG liên kết Việc bao hàm ghi tài nguyên DS, NSEC RRSIG làm tăng kích cỡ tin tham chiếu làm cho vài tất ghi tài nguyên liên kết bị loại bỏ Khi không gian không cho phép bao hàm tập ghi tài nguyên DS NSEC ghi tài nguyên RRSIG liên kết, máy chủ tên miền phải thiết lập bit TC (xem mục 5.1.1) 5.1.4.1 Trả lời truy vấn ghi tài nguyên DS Loại ghi tài nguyên DS khác thường xuất phía zonecha zone cut Ví dụ, tập ghi tài nguyên DS để chuyển giao “foo.example” chứa zone “example” mà zone “too.example” Điều yêu cầu nguyên tắc xử lý đặc biệt máy chủ tên miền Resolver máy chủ tên miền zone có thẩm quyền tên miền zone cut theo nguyên tắc DNS chuẩn zone không chứa tập ghi tài nguyên DS Security-Aware Resolver gửi truy vấn đến zonecha tìm kiếm ghi tài nguyên DS điểm chuyển giao (xem mục 6.2) Tuy nhiên, cần nguyên tắc đặc biệt để tránh làm nhầm lẫn Security-Oblivious Resolver, chúng bị liên quan việc xử lý truy vấn (ví dụ, cấu hình mạng có bắt buộc Security-Aware Resolver chuyển truy vấn qua security-oblivious recursive name server) Phần lại mục trình bày cách SecurityAware Name Server xử lý truy vấn theo trật tự để tránh xảy vấn đề Nhu cầu việc xử lý đặc biệt Security-Aware Name Server phát sinh tất điều kiện sau thỏa mãn: - Máy chủ tên miền nhận truy vấn tập ghi tài nguyên DS zone cut - Máy chủ tên miền có thẩm quyền zone - Máy chủ tên miền khơng có thẩm quyền zonecha - Máy chủ tên miền không thực đệ quy Trong tất trường hợp khác, máy chủ tên miền có cách để có tập ghi tài nguyên DS khơng cần có tập ghi tài ngun DS theo nguyên tắc xử lý không DNSSEC, máy chủ tên miền trả tập ghi tài nguyên DS trả lời lỗi theo nguyên tắc xử lý chuẩn Tuy nhiên, tất điều kiện thỏa mãn, máy chủ tên miền có thẩm quyền SNAME cung cấp tập ghi tài nguyên yêu cầu Trong trường hợp này, máy chủ tên miền phải trả trả lời có thẩm quyền “khơng có liệu” tập ghi tài nguyên DS không tồn zone apex zone Xem phụ lục B.8 ví dụ trả lời không ký cháu Trong trường hợp này, tập ghi tài ngun khơng ký Resolver kiểm tra chữ ký Giả mạo: tập ghi tài nguyên mà Resolver tin cậy thiết lập chuỗi tin cậy lại khơng thể thực điều chữ ký khơng xác nhận lý liệu thiếu mà ghi tài nguyên DNSSEC có liên quan nên có Trường hợp cơng lỗi cấu hình dạng lỗi liệu Không xác định: tập ghi tài nguyên mà Resolver xác định liệu tập ghi tài nguyên có nên ký Resolver khơng thể có ghi tài nguyên DNSSEC cần thiết Điều xảy Security-Aware Resolver liên lạc với Security-Aware Name Server zone liên quan 6.4 Trust Anchor cấu hình Security-Aware Resolver phải có khả cấu hình với khóa cơng khai tin cậy ghi tài nguyên DS nên có khả cấu hình với nhiều khóa cơng khai tin cậy ghi tài nguyên DS Vì Security-Aware Resolver khơng có khả xác nhận chữ ký khơng có Trust Anchor cấu vậy, Resolver nên có chế chắn hợp lý để đạt khóa khởi tạo; ví dụ chế dạng lưu trữ không khả biến (như ổ đĩa) dạng chế cấu hình mạng nội tin cậy Chú ý Trust Anchor che đậy thơng tin khóa cập nhật theo cách bảo mật Cách thức bảo mật thơng qua phương tiện vật lý, giao thức trao đổi khóa số biện pháp khác 6.5 Phản hồi đệm Một Security-Aware Resolver nên lưu nhớ đệm cho phản hồi mục đơn nguyên chứa toàn câu trả lời, bao gồm tên miền tập ghi tài nguyên ghi tài nguyên DNSSEC liên kết Resolver nên loại bỏ toàn mục đơn nguyên có ghi tài nguyên chứa bị hết hạn Trong phần lớn trường hợp, mục nhớ đệm phù hợp mục nhập nguyên bội ba trường hợp dạng đệ quy trình bày mục 5.1.3.2, mục nhớ đệm phù hợp bội hai Lý khuyến nghị truy vấn ban đầu hết thời gian liệu nhớ đệm, liệu có thẩm quyền thay đổi (ví dụ, thơng qua cập nhật động) Có tình liên quan: a) Bằng cách sử dụng ghi tài nguyên RRSIG, suy diễn trả lời đồng từ ký tự đại diện Security-Aware Recursive Name Server lưu trữ liệu ký tự đại diện sử dụng để tạo phản hồi khẳng định truy vấn tên miền mà trả lời gốc nhận b) Các ghi tài nguyên NSEC nhận để khơng tồn tên miền Security-Aware Resolver sử dụng lại để không tồn tên miền dải tên miền bao trùm Trong lý thuyết, Resolver sử dụng ký tự đại diện ghi tài nguyên NSEC để tạo phản hồi khẳng định phủ định (tương ứng) TTL chữ ký ghi tài nguyên truy vấn hết thời gian Tuy nhiên, Resolver nên thận trọng để tránh việc ngăn chặn liệu có thẩm quyền việc đồng liệu Các Resolver theo khuyến nghị có quan điểm qn khơng gian tên miền 6.6 Xử lý bit CD AD Security-Aware Resolver thiết lập bit CD truy vấn để Resolver nhận trách nhiệm thực thẩm quyền mà sách nội yêu cầu tập ghi tài nguyên trả lời Xem mục 5.2 ảnh hưởng bit lên hành vi Security-Aware Recursive Name Server Security-Aware Resolver phải xóa bit AD xây dựng tin truy vấn để bảo vệ chống lại máy chủ tên miền có nhiều lỗi chép bit phần mào đầu cách máy móc mà chúng khơng hiểu từ tin truy vấn sang tin trả lời Resolver phải không quan tâm đến ý nghĩa bit CD AD trả lời trừ trả lời đạt cách sử dụng kênh có bảo mật Resolver cấu hình cách đặc biệt để quan tâm bit phần mào đầu tin mà khơng sử dụng kênh có bảo mật 6.7 Dữ liệu đệm BAD Khi nhiều lỗi xác thực tạm thời, số lỗi liên tục, thể chúng lỗi quản lý gây (lỗi ký lại zone, lệch xung nhịp, ) Vì việc truy vấn lại khơng có ích trường hợp này, Resolver xác thực tạo lượng lưu lượng DNS khơng cần thiết đáng kể lặp lại truy vấn tập ghi tài nguyên với lỗi xác thực liên tục Để tránh lưu lượng DNS khơng cần thiết này, Security-Aware Resolver nhớ đệm liệu với chữ ký không hợp pháp số hạn chế Về mặt khái niệm, việc nhớ đệm liệu tương tự việc nhớ đệm âm (RFC 2308) ngoại trừ thay vi nhớ đệm phản hồi phủ định hợp pháp, Resolver nhớ đệm kiện trả lời cụ thể xác thực không thành công Tiêu chuẩn xem việc nhớ đệm liệu có chữ ký khơng hợp pháp “BAD cache” Các Resolver thực BAD cache phải thực bước để tránh nhớ đệm khỏi trở thành thiết bị tăng cường hữu hiệu công từ chối dịch vụ, cụ thể là: - Khi tập ghi tài nguyên xác thực khơng thành cơng khơng có TTL tin cậy, việc thực phải ấn định TTL TTL nên nhỏ để giảm thiểu ảnh hưởng nhớ đệm kết công - Để tránh nhớ đệm lỗi xác thực tạm thời (nó kết công), Resolver nên theo dấu truy vấn gây lỗi xác thực nên trả lời từ BAD cache sau số lượt trả lời truy vấn cụ thể xác thực không thành công vượt giá trị ngưỡng Các Resolver không trả tập ghi tài nguyên từ BAD cache trừ Resolver không yêu cầu để xác nhận chữ ký tập ghi tài nguyên câu hỏi theo nguyên tắc trình bày mục 6.2 mục 5.2.2 cách trả lời Security-Aware Recursive Name Server trả hoạt động với BAD cache 6.8 Các CNAME đồng Một Security-Aware Resolver xác nhận phải xử lý chữ ký ghi tài nguyên DNAME ký hợp pháp bao trùm ghi tài nguyên CNAME chưa ký đồng từ ghi tài nguyên DNAME trình bày RFC 2672, mức khơng hủy bỏ có tin trả lời chứa ghi tài nguyên CNAME Resolver giữ lại ghi tài nguyên CNAME nhớ đệm trả lời mà truyền trở lại khơng yêu cầu làm 6.9 Các Stub Resolver Security-Aware Stub Resolver phải hỗ trợ loại ghi tài ngun DNSSEC mức khơng xử lý nhầm trả lời chúng chứa ghi tài nguyên DNSSEC 6.9.1 Xử lý bit DO Non-validating security-aware stub resolver chứa ghi tài nguyên DNSSEC Security-Aware Recursive Name Server trả liệu mà Stub Resolver truyền lại cho ứng dụng liên quan đến có khơng u cầu làm Non-validating stub resolver tìm cách làm cần thiết lập bit DO để nhận ghi tài nguyên DNSSEC từ máy chủ tên miền đệ quy Validating Security-Aware Stub Resolver phải thiết lập bit DO khơng khơng nhận ghi tài nguyên DNSSEC mà cần thực xác nhận chữ ký 6.9.2 Xử lý bit CD Non-validating security-aware stub resolver không nên thiết lập bit CD gửi truy vấn trừ lớp ứng dụng yêu cầu, theo định nghĩa, Non-Validating Stub Resolver phụ thuộc vào Security-Aware Recursive Name Server thực xác thực thay cho Validating Security-Aware stub Resolver nên thiết lập bit CD khơng Security-Aware Recursive Name Server trả lời truy vấn cách sử dụng sách nội máy chủ tên miền này, sách ngăn cản Stub Resolver nhận liệu chấp nhận theo sách nội Stub Resolver 6.9.3 Xử lý bit AD Non-validating security-aware stub resolver lựa chọn để kiểm tra việc thiết lập bit AD tin phản hồi mà nhận để xác định liệu Security-Aware Recursive Name Server gửi xác nhận phản hồi kiểm tra mã hóa liệu phần trả lời thẩm quyền tin phản hồi Tuy nhiên, ý rằng, phản hồi Security-Aware Stub Resolver nhận phụ thuộc chủ yếu vào sách nội Security-Aware Recursive Name Server Do đó, có giá trị thực tế việc kiểm tra trạng thái bit AD ngoại trừ trợ giúp gỡ rối Trong trường hợp nào, Security-Aware Stub Resolver không đặt tin cậy vào xác nhận chữ ký thực thay cho trừ Security-Aware Stub Resolver có liệu từ Security-Aware Recursive Name Server thông qua kênh bảo mật Validating Security-Aware Stub Resolver không nên kiểm tra việc thiết lập bit AD tin phản hồi theo định nghĩa, Stub Resolver thực xác nhận chữ ký mà khơng quan tâm đến việc thiết lập bit AD Xác thực trả lời DNS Để sử dụng ghi tài nguyên DNSSEC để xác thực, Security-Aware Resolver yêu cầu biết cấu hình ghi tài nguyên DNSKEY DS xác thực Q trình có xác thực Trust Anchor khởi đầu đạt thông qua chế bên ngồi Ví dụ, Resolver sử dụng việc trao đổi xác thực ngoại tuyến để có DNSKEY zone có ghi tài nguyên DS nhận biết xác thực ghi tài nguyên DNSKEY zone Phần lại mục giả thiết Resolver có khởi đầu Trust Anchor Một ghi tài nguyên DNSKEY khởi đầu sử dụng để xác thực tập ghi tài nguyên DNSKEY zone apex zone Để xác thực tập ghi tài nguyên DNSKEY zone apex cách sử dụng khóa khởi đầu, Resolver phải: a) Kiểm tra xem ghi tài nguyên DNSKEY khởi tạo xuất tập ghi tài nguyên DNSKEY zone apex xem ghi tài nguyên DNSKEY có Zone KEY Flag (DNSKEY RDATA bit 7) thiết lập: b) Kiểm tra xem có ghi tài nguyên RRSIG bao trùm tập ghi tài nguyên DNSKEY zone apex xem kết hợp ghi tài nguyên RRSIG ghi tài nguyên DNSKEY khởi tạo xác thực tập ghi tài nguyên DNSKEY Quá trình sử dụng ghi tài nguyên RRSIG để xác thực tập ghi tài nguyên trình bày mục 7.3 Khi Resolver xác thực tập ghi tài nguyên DNSKEY zone apex cách sử dụng ghi tài nguyên DNSKEY khởi tạo, chuyển giao từ zone xác thực cách sử dụng ghi tài nguyên DS Điều cho phép Resolver khóa khởi tạo sử dụng tập ghi tài nguyên DNSKEY để tiến hành đệ quy xuống DNS, có tập ghi tài nguyên DNSKEY zone apex Khi Resolver cấu hình ghi tài nguyên DNSKEY gốc chuyển giao có ghi tài nguyên DS liên kết với Resolver có xác nhận tập ghi tài nguyên DNSKEY zone apex Quá trình sử dụng ghi tài nguyên DS để xác thực truyền tải trình bày mục 7.2 Mục 7.3 trình bày cách Resolver sử dụng ghi tài nguyên DNSKEY tập ghi tài nguyên DNSKEY zone apex ghi tài nguyên RRSIG từ zone để xác thực tập ghi tài nguyên khác zone Resolver xác thực tập ghi tài nguyên DNSKEY zone apex zone Mục 7.4 trình bày cách Resolver tập ghi tài nguyên NSEC xác thực từ zone để tập ghi tài nguyên zone Khi Resolver hỗ trợ dành cho DNSKEY (bằng cách thiết lập bit DO), Security-Aware Name Server nên cố gắng cung cấp tập ghi tài nguyên DNSKEY, RRSIG, NSEC DS trả lời (xem mục 5) Tuy nhiên, Security-Aware Resolver nhận trả lời thiếu ghi tài nguyên DNSKEY phù hợp vấn đề cấu security-oblivious recursive name server hướng lên can thiệp ghi tài nguyên DNSKEY cách tình cờ cơng cố ý đối phương gửi trả lời, loại bỏ ghi tài nguyên DNSKEY từ trả lời thay đổi truy vấn để ghi tài nguyên DNSKEY không xuất yêu cầu Việc thiếu liệu DNSKEY trả lời không tự lấy làm dẫn thông tin xác thực không tồn Resolver nên chờ thông tin xác thực từ Zone ký Resolver nên tin tưởng Zone ký Resolver cấu hình với thơng tin khóa cơng khai zone cha zone ký chuyển giao từ cha chứa tập ghi tài nguyên DS 7.1 Các vấn đề đặc biệt cô lập bảo mật Cô lập bảo mật (xem RFC 4033) zone ký mà khơng xây dựng chuỗi xác thực zone từ zonecha nó.Việc xác nhận chữ ký cô lập bảo mật yêu cầu phần xác nhận có số phương pháp lấy zone key xác thực ban đầu cô lập bảo mật Khi phần xác nhận lấy khóa nên chuyển sang hoạt động thể zone cô lập bảo mật chưa ký Tất trình chuẩn để xác nhận trả lời áp dụng cô lập bảo mật Sự khác xác nhận chuẩn xác nhận cô lập bảo mật cách mà phần xác nhận lấy Trust Anchor dành cho chuỗi xác thực 7.2 Xác thực tham chiếu Khi tập ghi tài nguyên DNSKEY zone apex dành cho zonecha ký xác thực, tập ghi tài nguyên DS sử dụng để xác thực chuyển giao đến zone ký Một ghi tài nguyên DS xác định ghi tài nguyên DNSKEY tập ghi tài nguyên DNSKEY zone apex zone chứa tóm tắt mật mã ghi tài nguyên DNSKEY zone Việc sử dụng thuật toán tóm tắt mật mã mạnh đảm bảo việc tạo ghi tài nguyên DNSKEY phù hợp với phần tóm tắt đối thủ khơng khả thi mặt tính tốn Do đó, việc xác thực phần tóm tắt cho phép Resolver xác thực ghi tài nguyên DNSKEY phù hợp Tiếp theo, Resolver sử dụng ghi tài nguyên DNSKEY để xác thực toàn tập ghi tài nguyên DNSKEY zone apex phía zone Cho trước ghi tài nguyên DS dành cho chuyển giao, tập ghi tài nguyên DNSKEY zone apex zone xác thực tất nội dung sau đáp ứng: - Bản ghi tài nguyên DS xác thực cách sử dụng ghi tài nguyên DNSKEY tập ghi tài nguyên DNSKEY zone apex zonecha(xem mục 7.3) - Thuật tốn thẻ khóa ghi tài nguyên DS phù hợp trường thuật tốn thẻ khóa ghi tài ngun DNSKEY tập ghi tài nguyên DNSKEY zone apex zone RDATA tên miền chủ ghi tài nguyên DNSKEY trộn cách sử dụng thuật tốn tóm tắt quy định trường loại tóm tắt ghi tài nguyên DS này, giá trị tóm tắt thu phù hợp trường tóm tắt ghi tài nguyên DS - Bản ghi tài nguyên DNSKEY phù hợp zone có bit Zone Flag thiết lập, khóa riêng tương ứng ký tập ghi tài nguyên DNSKEY zone apex zone ghi tài nguyên RRSIG thu xác thực tập ghi tài nguyên DNSKEY zone apex zone Khi tham chiếu từ zonecha không chứa tập ghi tài nguyên DS, trả lời chứa tập ghi tài nguyên NSEC ký khơng có tập ghi tài ngun DS tồn dành cho tên miền chuyển giao (xem mục 5.1.4) Security-Aware Resolver phải truy vấn máy chủ tên miền dành cho zonecha tập ghi tài nguyên DS tham chiếu không chứa tập ghi tài nguyên DS tập ghi tài nguyên NSEC tập ghi tài nguyên DS không tồn (xem mục 6) Khi phần xác nhận xác thực tập ghi tài ngun NSEC để khơng có tập ghi tài nguyên DS có dành cho zone khơng có liên kết xác thực dẫn từ cha đến Khi Resolver có ghi tài nguyên DNSKEY DS khởi tạo thuộc zone thuộc chuyển giao zone con, ghi tài nguyên DNSKEY DS khởi tạo sử dụng để thiết lập lại liên kết xác thực Khi khơng có ghi tài nguyên DNSKEY DS tồn tại, phần xác nhận xác thực tập ghi tài nguyên zone Khi phần xác nhận khơng hỗ trợ thuật tốn liệt kê tập ghi tài nguyên DS xác thực Resolver khơng hỗ trợ liên kết xác thực dẫn từ cha đến Resolver nên xử lý trường hợp trường hợp tập ghi tài nguyên NSEC xác thực khơng có tập ghi tài ngun DS tồn trình bày Chú ý rằng, chuyển giao ký, có hai ghi tài nguyên NSEC liên kết với tên miền chuyển giao Một ghi tài nguyên NSEC thứ zonecha sử dụng để liệu tập ghi tài nguyên DS có tồn dành cho tên miền chuyển giao Một ghi tài nguyên NSEC thứ hai zone xác định tập ghi tài nguyên có zone apex zone Bản ghi tài nguyên NSEC cha ghi tài ngun NSEC ln ln phân biệt bit SOA thiết lập ghi tài nguyên NSEC bị xóa ghi tài nguyên NSEC cha Security-Aware Resolver phải sử dụng ghi tài nguyên NSEC cha cố gắng tập ghi tài nguyên DS không tồn Khi Resolver không hỗ trợ thuật toán liệt kê tập ghi tài nguyên DS xác thực Resolver kiểm tra liên kết xác thực đến zone Trong trường hợp này, Resolver nên xử lý zone thể chưa ký 7.3 Xác thực tập ghi tài nguyên ghi tài nguyên RRSIG Phần xác nhận sử dụng ghi tài nguyên RRSIG ghi tài nguyên DNSKEY tương ứng để cố gắng xác thực tập ghi tài nguyên Trước tiên, Resolver kiểm tra ghi tài nguyên RRSIG để kiểm tra xem có bao trùm tập ghi tài nguyên này, có khoảng thời gian hợp lệ xác định ghi tài nguyên DNSKEY hợp lệ Tiếp theo, phần xác nhận xây dựng dạng tắc liệu ký cách thêm RRSIG RDATA (ngoại trừ trường Signature) vào dạng tắc tập ghi tài nguyên bao trùm Cuối cùng, phần xác nhận sử dụng khóa cơng khai chữ ký để xác thực liệu ký Các mục 7.3.1, 7.3.2 7.3.3 trình bày chi tiết bước 7.3.1 Kiểm tra tính hợp lệ ghi tài nguyên RRSIG Security-Aware Resolver sử dụng ghi tài nguyên RRSIG để xác thực tập ghi tài nguyên tất điều kiện sau thỏa mãn: - Bản ghi tài nguyên RRSIG tập ghi tài nguyên phải có tên miền chủ lớp giống - Trường Name Signer ghi tài nguyên RRSIG phải tên miền zone chứa tập ghi tài nguyên - Trường Type Covered ghi tài nguyên RRSIG phải giống loại tập ghi tài nguyên - Số nhãn tên miền chủ tập ghi tài nguyên phải lớn giá trị trường Labels ghi tài nguyên RRSIG - Thời gian phần xác nhận phải nhỏ thời gian liệt kê trường Expiration ghi tài nguyên RRSIG - Thời gian phần xác nhận phải lớn thời gian liệt kê trường Inception ghi tài nguyên RRSIG - Các trường Name, Algorithm Key Tag Signer ghi tài nguyên RRSIG phải phù hợp tên miền chủ, thuật tốn thẻ khóa dành cho ghi tài nguyên DNSKEY tập ghi tài nguyên DNSKEY zone apex zone - Bản ghi tài nguyên DNSKEY phù hợp phải có tập ghi tài nguyên DNSKEY zone apex zone phải có bit Zone Flag thiết lập (DNSKEY RDATA Flag bit 7) Việc phù hợp điều kiện nhiều ghi tài nguyên DNSKEY khả thi Trong trường hợp này, phần xác nhận khơng tiên lượng ghi tài nguyên DNSKEY sử dụng để xác thực chữ ký phải thử ghi tài nguyên DNSKEY phù hợp chữ ký xác thực phần xác nhận không khóa cơng khai phù hợp để thử Chú ý q trình xác thực có ý nghĩa phần xác nhận xác thực ghi tài nguyên DNSKEY trước việc sử dụng để xác nhận chữ ký Bản ghi tài nguyên DNSKEY phù hợp xem xác thực khi: - Tập ghi tài nguyên DNSKEY zone apex chứa ghi tài nguyên DNSKEY xem xác thực - Tập ghi tài nguyên ghi tài nguyên RRSIG bao trùm tập ghi tài nguyên DNSKEY zone apex ghi tài nguyên DNSKEY phù hợp ghi tài nguyên DS xác thực từ zonecha phù hợp Trust Anchor 7.3.2 Xây dựng lại liệu ký Khi ghi tài nguyên RRSIG đáp ứng yêu cầu xác nhận trình bày mục 7.3.1, phần xác nhận phải xây dựng lại liệu ký ban đầu Dữ liệu ký ban đầu bao gồm RRSIG RDATA (trừ trường Signature) dạng tắc tập ghi tài nguyên Ngoài cấu trúc lệnh, dạng tắc tập ghi tài nguyên khác tập ghi tài nguyên nhận nén tên miền DNS, TTL giảm mở rộng ký tự đại diện Phần xác nhận nên sử dụng lệnh sau để xây dựng lại liệu ký ban đầu: signed_data = RRSIG_RDATA I RR(1) I RR(2) “I” tốn tử ghép RRSIG_RDATA dạng chuỗi trường RRSIG RDATA với trường Signature bị loại bỏ Signer's Name có dạng tắc RR(i) = name I type I class I OrigTTL I RDATA length I RDATA name tính theo hàm class lớp tập ghi tài nguyên type loại tập ghi tài nguyên tất ghi tài nguyên lớp OrigTTL giá trị từ trường RRSIG Original TTL Tất tên miền RDATA có dạng tắc Tất RR (i) xếp theo thứ tự tắc Để tính tên miền: Đặt rrsig_labels = giá trị trường RRSIG Labels Đặt fqdn = tên miền đủ điều kiện hoàn toàn tập ghi tài nguyên dạng tắc Đặt fqdn_labels = số nhãn fqdn bên Khi rrsig_labels = fqdn_labels name = fqdn Khi rrsig_labels < fqdn_labels name = “*.” I nhãn rrsig_label bên phải ngồi fqdn Khi rrsig_labels > fqdn_labels ghi tài nguyên RRSIG không vượt qua kiểm tra xác nhận cần thiết không sử dụng để xác thực tập ghi tài nguyên Các dạng tắc tên miền tập ghi tài nguyên trình bày RFC 4034 Các tập ghi tài nguyên NSEC ranh giới chuyển giao yêu cầu xử lý đặc biệt có hai tập ghi tài nguyên NSEC khác liên kết với tên miền chuyển giao ký Tập ghi tài nguyên NSEC thứ zonecha xác định tập ghi tài nguyên có zonecha Tập ghi tài nguyên NSEC thứ hai zone xác định tập ghi tài nguyên có zone apex zone Tập ghi tài nguyên NSEC cha tập ghi tài nguyên NSEC ln phân biệt ghi tài nguyên NSEC tập ghi tài nguyên SOA tồn tên miền Khi xây dựng lại tập ghi tài nguyên NSEC ban đầu dành cho chuyển giao từ zonecha, ghi tài nguyên NSEC không kết hợp với ghi tài nguyên NSEC từ zone Khi xây dựng lại tập ghi tài nguyên NSEC ban đầu dành cho zone apex zone con, ghi tài nguyên NSEC không kết hợp với ghi tài nguyên NSEC từ zonecha Chú ý tập ghi tài nguyên hai tập ghi tài nguyên NSEC điểm chuyển giao có ghi tài nguyên RRSIG tương ứng với tên miền chủ phù hợp tên miền chuyển giao ghi tài nguyên ghi tài nguyên RRSIG liên kết liệu xác thực với zone chứa tập ghi tài nguyên NSEC tương ứng Khi cần, Resolver phân biệt ghi tài nguyên RRSIG cách kiểm tra trường tên miền Signer 7.3.3 Kiểm tra chữ ký Khi Resolver xác nhận ghi tài nguyên RRSIG trình bày mục 7.3.1 xây dựng lại liệu ký ban đầu trình bày mục 7.3.2, Resolver thử sử dụng chữ ký mật mã để xác thực liệu ký (cuối cùng) xác thực tập ghi tài nguyên Trường Algorithm ghi tài nguyên RRSIG xác định thuật toán mật mã sử dụng để tạo chữ ký Chữ ký chứa trường Signature RRSIG RDATA khóa cơng khai sử dụng để kiểm tra chữ ký chứa trường Public KEY (các) DNSKEY phù hợp (tìm thấy mục 7.3.1) RFC 4034 cung cấp danh sách loại thuật toán cung cấp trỏ đến tài liệu hướng dẫn sử dụng thuật toán Chú ý việc thỏa mãn điều kiện mục 7.3.1 nhiều ghi tài nguyên DNSKEY khả thi Trong trường hợp này, Resolver xác định ghi tài nguyên DNSKEY cách thử khóa cơng khai phù hợp Resolver thành công việc xác nhận chữ ký hết khóa để thử Khi trường Labels ghi tài nguyên RRSIG không số nhãn tên miền chủ đủ điều kiện hoàn toàn ghi tài nguyên RRSIG tập ghi tài nguyên không hợp lệ kết phần mở rộng ký tự đại diện Resolver phải kiểm tra xem phần mở rộng có áp dụng trước xem xét tập ghi tài nguyên có xác thực Mục 7.3.4 trình bày cách xác định xem ký tự đại diện có áp dụng khơng Khi ghi tài nguyên RRSIG khác bao trùm tập ghi tài nguyên này, sách bảo mật Resolver nội xác định liệu Resolver phải kiểm tra ghi tài nguyên RRSIG cách xử lý xung đột ghi tài nguyên RRSIG dẫn đến kết khác Khi Resolver chấp nhận tập ghi tài nguyên xác thực, phần xác nhận phải thiết lập TTL ghi tài nguyên RRSIG ghi tài nguyên tập ghi tài nguyên xác thực theo giá trị không lớn giá trị tối thiểu của: - TTL tập ghi tài nguyên nhận trả lời; - TTL ghi tài nguyên RRSIG nhận trả lời; - Giá trị trường TTL ban đầu ghi tài nguyên RRSIG - Chênh lệch thời gian hết hạn chữ ký ghi tài nguyên RRSIG thời gian 7.3.4 Xác thực phản hồi khẳng định tập ghi tài nguyên có phần mở rộng ký tự đại diện Khi số nhãn tên miền chủ tập ghi tài nguyên lớn trường Labels ghi tài nguyên RRSIG bao trùm tập ghi tài nguyên ghi tài nguyên RRSIG bao trùm tạo kết phần mở rộng ký tự đại diện Khi phần xác nhận kiểm tra chữ ký trình bày mục 7.3, việc kiểm tra không tồn phù hợp xác phù hợp ký tự đại diện gần truy vấn phải thực bước bổ sung Mục 7.4 trình bày bước Chú ý trả lời Resolver nhận nên chứa tất ghi tài nguyên NSEC cần thiết để xác thực trả lời (xem mục 5.1.3) 7.4 Xác thực từ chối tồn Resolver sử dụng ghi tài nguyên NSEC xác thực để tập ghi tài ngun khơng có Zone ký Các Security-Aware Name Server nên chứa ghi tài nguyên NSEC cần thiết Zone ký trả lời chúng đến Security-Aware Resolver cách tự động Phủ nhận tồn xác định cách nguyên tắc sau: - Khi tên miền ghi tài nguyên yêu cầu phù hợp tên miền chủ ghi tài nguyên NSEC xác thực trường ánh xạ bit loại ghi tài nguyên NSEC loại ghi tài nguyên yêu cầu không tồn cách kiểm tra loại ghi tài nguyên ánh xạ Khi số nhãn tên miền chủ ghi tài nguyên NSEC xác thực trường Labels ghi tài nguyên RRSIG bao trùm tồn ghi tài nguyên NSEC phần mở rộng ký tự đại diện không sử dụng để phù hợp yêu cầu - Khi tên miền ghi tài nguyên yêu cầu xuất sau tên miền chủ ghi tài nguyên NSEC xác thực trước tên miền liệt kê trường Next Domain Name ghi tài nguyên NSEC theo thứ tự tên miền DNS tắc RFC 4034 khơng tập ghi tài nguyên có tên miền yêu cầu tồn zone Tuy nhiên, ký tự đại diện được sử dụng để phù hợp loại tên miền chủ ghi tài nguyên yêu cầu tập ghi tài nguyên yêu cầu không tồn yêu khơng có tập ghi tài ngun ký tự đại diện tồn sử dụng để tạo phản hồi khẳng định Ngoài ra, Security-Aware Resolver phải xác thực tập ghi tài nguyên NSEC chứa chứng không tồn trình bày mục 7.3 Để không tồn tập ghi tài nguyên, Resolver phải có khả kiểm tra tập ghi tài nguyên truy vấn không tồn khơng có tập ghi tài ngun ký tự đại diện liên quan tồn Việc điều yêu cầu nhiều tập ghi tài nguyên NSEC từ zone Khi tập đầy đủ tập ghi tài nguyên NSEC cần thiết khơng có trả lời (có thể cắt cụt tin) Security-Aware Resolver phải gửi lại truy vấn để có tập hợp đầy đủ ghi tài nguyên NSEC cần thiết để kiểm tra không tồn tập ghi tài nguyên yêu cầu Tuy nhiên Resolver phải chuyển công việc thành việc trả lời truy vấn cụ thể Khi ghi tài nguyên NSEC xác nhận tồn ghi tài nguyên RRSIG tương ứng nó, phần xác nhận phải bỏ qua thiết lập bit NSEC RRSIG ghi tài nguyên NSEC 7.5 Trạng thái Resolver chữ ký khơng xác nhận Khi lý mà khơng có RRSIG xác nhận, trả lời nên xem xét “BAD” Khi xác nhận thực để phục vụ truy vấn đệ quy, máy chủ tên miền phải trả RCODE máy khách khởi tạo Tuy nhiên, phải trả trả lời đầy đủ truy vấn ban đầu có bit CD thiết lập Xem mục 6.7 nhớ đệm trả lời khơng xác nhận 7.6 Ví dụ xác thực Phụ lục C trình bày ví dụ trình xác thực Các vấn đề IANA RFC 4034 trình bày tổng quan vấn đề IANA DNSSEC đưa Các vấn đề IANA bổ sung trình bày tiêu chuẩn là: RFC 2535 dự phòng bit CD AD phần mào đầu tin Bit AD định nghĩa lại RFC 3655 bit CD AD định nghĩa lại tiêu chuẩn Khơng có bit phần mào đầu tin DNS xác định tiêu chuẩn RFC 2671 đưa EDNS RFC 3225 dự phòng bit DNSSEC OK xác định cách sử dụng Cách sử dụng xác định lại không bị thay đổi tiêu chuẩn Các vấn đề bảo mật Tiêu chuẩn trình bày cách phần mở rộng bảo mật DNS sử dụng mật mã khóa công khai để ký xác thực ghi tài nguyên DNS Xem RFC 4033 thuật ngữ vấn đề bảo mật chung liên quan đến DNSSEC; xem RFC 4034 vấn đề cụ thể loại ghi tài nguyên DNSSEC Kẻ cơng chủ động thiết lập bit CD tin truy vấn DNS bit AD tin trả lời DNS sử dụng bit để vượt qua bảo vệ mà DNSSEC cung cấp cho SecurityOblivious Recursive-Mode Resolver Vì lý này, việc sử dụng bit kiểm soát securityoblivious recursive-mode resolvers yêu cầu kênh bảo mật Xem mục 5.2.2 6.9 để biết thêm nội dung Giao thức trình bày tiêu chuẩn mở rộng ưu điểm DNSSEC đến securityoblivious stub resolver Tuy nhiên, việc khôi phục từ thất bại xác nhận xác định ứng dụng cụ thể, phương tiện mà DNSSEC cung cấp cho Stub Resolver không đủ Các nhà điều hành Security-Aware Recursive Name Server phải quan tâm đến hành vi ứng dụng sử dụng dịch vụ chúng lựa chọn sách xác nhận nội bộ; việc thất bại việc dẫn đến máy chủ tên miền đệ quy từ chối dịch vụ máy khách mà hỗ trợ FILE ĐƯỢC ĐÍNH KÈM THEO VĂN BẢN Phụ lục C (Tham khảo) Các ví dụ xác thực Các ví dụ phụ lục trình bày cách tin trả lời phụ lục B xác thực C.1 Xác thực trả lời Truy vấn mục B.1 trả tập ghi tài nguyên MX dành cho “x.w.example” RRSIG tương ứng tập ghi tài nguyên MX DNSKEY “example” ký với thuật tốn thẻ khóa 38519 Resolver cần ghi tài nguyên DNSKEY tương ứng để xác thực trả lời Nội dung trình bày cách Resolver có ghi tài nguyên DNSKEY RRSIG TTL ban đầu tập ghi tài ngun MX 3600 mục đích xác thực, TTL thay 3600 Giá trị trường nhãn RRSIG trả lời không kết phần mở rộng ký tự đại diện Tập ghi tài nguyên MX “x.w.example.com” đặt dạng tắc giả thiết thời gian nằm thời điểm hết hạn bắt đầu chữ ký, chữ ký xác thực C.1.1 Xác thực ghi tài ngun DNSKEY “example” Ví dụ trình bày q trình xác thực lô gisc DNSKEY gốc cấu hình di chuyển xuống để xác thực ghi tài nguyên DNSKEY “example” mong muốn Thực lựa chọn để xây dựng xác thực tham chiếu nhận để xây dựng chuỗi xác thực sau tất tập ghi tài nguyên thu kết hợp khác mà thấy phù hợp Ở đây, ví dụ mơ tả q trình lơ gic khơng giải thích ngun tắc thực Giả thiết Resolver bắt đầu với ghi tài nguyên DNSKEY cấu hình dành cho root zone (hoặc ghi tài nguyên DS cấu hình dành cho root zone) Resolver kiểm tra xem ghi tài ngun DNSKEY cấu hình có có tập ghi tài nguyên DNSKEY gốc (hoặc xem ghi tài nguyên DS có phù hợp DNSKEY tập ghi tài nguyên DNSKEY gốc), xem ghi tài nguyên DNSKEY ký tập ghi tài nguyên DNSKEY gốc xem thời gian tồn chữ ký có hợp lệ Khi tất điều kiện thỏa mãn, tất khoá tập ghi tài nguyên DNSKEY xem xác thực Tiếp theo, Resolver sử dụng (hoặc nhiều) ghi tài nguyên DNSKEY gốc để xác thực tập ghi tài nguyên DS “example” Chú ý Resolver phải truy vấn root zone để thu tập ghi tài nguyên DNSKEY gốc tập ghi tài nguyên DS “example” Khi tập ghi tài nguyên DS xác thực cách sử dụng DNSKEY gốc, Resolver kiểm tra tập ghi tài nguyên DNSKEY “example” dành cho ghi tài nguyên DNSKEY “example” phù hợp ghi tài nguyên DS “example” xác thực Khi ghi tài nguyên DNSKEY ký tập ghi tài nguyên DNSKEY “example” thời gian tồn chữ ký hợp lệ Khi điều kiện thỏa mãn, tất khóa tập ghi tài nguyên DNSKEY “example” xem xác thực Cuối cùng, Resolver kiểm ta xem ghi tài nguyên DNSKEY tập ghi tài nguyên DNSKEY “example” sử dụng thuật tốn có thẻ khóa 38519 DNSKEY sử dụng để xác thực RRSIG chứa trả lời Khi nhiều ghi tài nguyên DNSKEY “example” phù hợp thuật tốn thẻ khóa ghi tài nguyên DNSKEY thử trả lời xác thực ghi tài nguyên DNSKEY phù hợp xác nhận chữ ký trình bày C.2 Lỗi tên miền Truy vấn mục B.2 trả ghi tài nguyên NSEC liệu yêu cầu không tồn khơng có ký tự đại diện áp dụng Việc kiểm tra hai ghi tài nguyên NSEC xác thực phản hồi phủ định Các ghi tài nguyên NSEC xác thực theo cách giống cách tập ghi tài nguyên MX trình bày C.3 Lỗi khơng có liệu Truy vấn mục B.3 trả ghi tài nguyên NSEC tên miền yêu cầu tồn loại ghi tài nguyên yêu cầu không tồn Việc kiểm tra ghi tài nguyên NSEC xác thực phản hồi phủ định ghi tài nguyên NSEC xác thực theo cách giống cách tập Bản ghi tài nguyên MX trình bày C.4 Tham chiếu đến Zone ký Truy vấn mục B.4 trả tham chiếu đến Zone ký “example” Bản ghi tài nguyên DS xác thực theo cách giống cách tập ghi tài nguyên MX trình bày Bản ghi tài nguyên DS sử dụng để xác thực tập ghi tài nguyên DNSKEY “a.example” Khi tập ghi tài nguyên DS “a.example” xác thực cách sử dụng DNSKEY “example”, Resolver kiểm tra tập ghi tài nguyên DNSKEY “a.example” dành cho ghi tài nguyên DNSKEY “a.example” phù hợp ghi tài nguyên DS Khi DNSKEY “a.example” phù hợp tìm thấy, Resolver kiểm tra xem ghi tài nguyên DNSKEY ký DNSKEY “a.example” vDNSKEY “a.example” xem thời gian tồn chữ ký có hợp lệ Khi tất điều kiện thỏa mãn, tất khóa tập ghi tài nguyên DNSKEY “a.example” xem làm xác thực C.5 Tham chiếu đến zone chưa ký Truy vấn mục B.5 trả tham chiếu đến zone chưa ký “b.example” NSEC xác thực dẫn từ “example” đến “b.example” ghi tài nguyên IMSEC xác thực theo cách giống cách tập ghi tài nguyên MX trình bày C.6 Phần mở rộng ký tự đại diện Truy vấn mục B.6 trả trả lời tạo kết phần mở rộng ký tự đại diện Phần trả lời chứa tập ghi tài nguyên ký tự đại diện mở rộng thuộc trả lời DNS truyền thống RRSIG tương ứng tập ghi tài nguyên MX ký tự đại diện mở rộng DNSKEY “example” ký với thuật tốn thẻ khóa 38519 RRSIG TTL ban đầu tập ghi tài nguyên MX 3600 dành cho mục đích xác thực, TTL thay 3600 Giá trị trường nhãn RRSIG trả lời kết phần mở rộng ký tự đại diện tên miền “a.z.w.example” chứa nhãn Tên miền “a.z.w.w.example” thay “*.w.example”, tập ghi tài nguyên MX đặt theo dạng tắc giả thiết thời gian nằm thời điểm hết hạn bắt đầu chữ ký, chữ ký xác thực NSEC khơng có phù hợp (giống gần giống ký tự đại diện) sử dụng để trả lời truy vấn ghi tài nguyên NSEC phải xác thực trước trả lời xem hợp lệ C.7 Lỗi khơng có liệu ký tự đại diện Truy vấn mục B.7 trả ghi tài nguyên NSEC liệu yêu cầu không tồn khơng có ký tự đại diện áp dụng Việc kiểm tra hai ghi tài nguyên NSEC xác thực phản hồi phủ định C.8 Lỗi khơng có liệu zone DS Truy vấn mục B.8 trả ghi tài nguyên NSEC máy chủ ( máy chủ “example”) trả lời truy vấn yêu cầu Bản ghi tài nguyên NSEC có mặt ghi tài nguyên SOA trả lời từ zone Các truy vấn dành cho tập ghi tài nguyên DS “example” nên gửi đến máy chủ cha (các máy chủ “gốc”) Phụ lục D (Quy định) Các RFC cập nhật Tiêu chuẩn xây dựng dựa RFC 4035 Theo quy luật tất yếu, RFC 4035 cập nhật thơng tin RFC trước RFC ban hành RFC 4035, RFC 4470, RFC 6014 RFC 6840, cập nhật thông tin cho RFC 4035 Phụ lục trình bày thông tin cập nhật cho RFC 4035 Để việc tham khảo thuận tiện, mục tiêu chuẩn liên hệ với mục tương ứng RFC 4035 D.1 RFC 4470 “Minimally Covering NSEC Records and DNSSEC On-line Signing” - RFC 4470 “Các ghi tài nguyên NSEC bao trùm tối thiểu ký trực tuyến DNSSEC”, 2006-04 Tại trang RFC 4470: Ánh xạ loại ghi tài nguyên NSEC tạo phải có bit RRSIG NSEC thiết lập khơng nên có bít khác thiết lập Điều nới lỏng yêu cầu mục 4.3 (2.3 RFC 4035) ghi tài nguyên NSEC không xuất tên miền khơng tồn trước zone ký D.2 RFC 6014 “Cryptographic Algorithm Identifier Allocation for DNSSEC” - RFC 6014 “Phân bố nhận dạng thuật toán mật mã DNSSEC”, 2010-11 Tại trang RFC 6014: Các yêu cầu ấn định việc ký số thuật toán bảo mật DNS Tiêu chuẩn thay đổi yêu cầu ký từ RFC tiêu chuẩn tham chiếu sang RFC xuất loại Có hai lý để nới lỏng u cầu là: - Có số thuật tốn có ích khơng thể nằm RFC tiêu chuẩn tham chiếu Vì lý đó, thuật tốn khơng đánh giá đủ kỹ lưỡng để thành tiêu chuẩn tham chiếu Hoặc thuật tốn có quyền sở hữu trí tuệ khơng rõ ràng ngăn cản thuật toán xây dựng thành tiêu chuẩn tham chiếu - Mặc dù không gian ký bị hạn chế (khoảng 250 số), thuật toán đề xuất khơng thường xun Nó kéo dài nhiều thập kỷ trước có lý để xem xét lại việc hạn chế ký Một số nhà phát triển quan tâm đến mức tiêu chuẩn RFC việc ký Việc ký cập nhật để phản ảnh mức tiêu chuẩn thuật toán liệt kê Để giải lo ngại việc đầy số ký, IETF nên đánh giá lại yêu cầu số ký số ký ấn định xấp xỉ 120 Việc đánh giá dẫn đến hạn chế chặt chẽ chế để mở rộng không gian ký Để việc đánh giá khả thi hơn, IANA đánh dấu khoảng nửa số ký khả dụng “Dự phòng” để việc đánh giá lại có thời gian rõ ràng Các giá trị 253 254 dành cho nhà phát triển muốn kiểm tra thuật tốn khơng nằm RFC Tiêu chuẩn không làm thay đổi cú phát hai giá trị D.3 RFC 6840 “Clarifications and Implementation Notes for DNS Security (DNSSEC)” - RFC 6840 “Các ý làm rõ thực phần mở rộng bảo mật DNS (DNSSEC)”, 2013-02 Tại trang RFC 6840: Mục 7.4 (5.4 RFC4035) chưa quy định thuật toán để kiểm tra chứng khơng tồn Cụ thể là, thuật tốn trình bày cho phép phần xác nhận dịch NSEC NSEC3 ghi tài nguyên từ zone nhóm cấp cao để chứng minh khơng tồn ghi tài nguyên zone Một ghi tài nguyên NSEC (hoặc ghi tài nguyên NSEC3) “chuyển giao nhóm cấp cao” ghi tài nguyên có: - Bit NS thiết lập, - Bit SOA bị xóa - Trường Signer ngắn tên miền chủ ghi tài nguyên NSEC tên miền chủ ban đầu ghi tài nguyên NSEC3 Tại trang RFC 6840: Các ghi tài nguyên NSEC NSEC3 chuyển giao nhóm cấp cao khơng sử dụng để giả thiết không tồn ghi tài nguyên zone cut có chứa tất ghi tài nguyên tên miền chủ (ban đầu) khác ghi tài nguyên DS tất ghi tài nguyên tên miền chủ loại Tương tự vậy, thuật toán cho phép ghi tài nguyên NSEC tên miền chủ giống ghi tài nguyên DNAME NSEC3 tên miền chủ ban đầu giống ghi tài nguyên DNAME để chứng minh không tồn tên miền bên DNAME Một ghi tài nguyên NSEC NSEC3 có bit DNAME thiết lập không sử dụng để giả thiết không tồn miền tên miền chủ (ban đầu) NSEC/NSEC3 [RFC4035] không đưa cách xác nhận trả lời QTYPE=* Trong mục 6.2.2 [RFC1034] đưa ra, trả lời phù hợp QTYPE=* chứa tập tập ghi tài nguyên tên miền cho Tức là, việc chứa tất tập ghi tài nguyên QNAME trả lời không cần thiết Khi xác nhận trả lời QTYPE=*, tất tập ghi tài nguyên nhận phù hợp với QNAME QCLASS phải xác nhận Khi có tập ghi tài nguyên không xác nhận, trả lời xem giả mạo Khi khơng có tập ghi tài nguyên phù hợp QNAME QCLASS, điều phải xác nhận theo nguyên tắc mục 7.4 (5.4 RFC4035) Tức là, phần xác nhận không nhận tất ghi tài nguyên QNAME để phản hồi QTYPE=* Mục (5 RFC4035) trình bày khơng có rõ ràng việc xác nhận trả lời dựa (hoặc nên dựa trên) CNAME Khi xác nhận trả lời NOERROR/NODATA, phần xác nhận phải kiểm tra bit CNAME ánh xạ loại ghi tài nguyên NSEC NSEC3 bit dành cho loại truy vấn Nếu khơng có việc kiểm tra này, kẻ cơng chuyển đổi thành cơng phản hồi CNAME khẳng định thành phản hồi NOERROR/NODATA (ví dụ như) cách đơn giản lấy tập ghi tài nguyên CNAME từ trả lời Sau đó, phần xác nhận khơng có nghi ngờ xác nhận QTYPE khơng có ghi tài ngun NSEC/NSEC3 phù hợp không nhận thấy bit CNAME thiết lập, đó, trả lời nên phản hồi CNAME khẳng định Tại trang RFC 6840: Mục 7.2 (5.2 RFC4035) quy định chứng minh chuyển giao không bảo mật phần xác nhận cần kiểm tra thiếu vắng bit DS SOA ánh xạ loại NSEC (hoặc NSEC3) Phần xác nhận phải kiểm tra thiếu vắng bit NS ghi tài nguyên NSEC (hoặc NSEC3) phù hợp (chứng minh thực có chuyển giao) đảm bảo chuyển giao ghi tài nguyên NSEC3 có cờ Opt-Out thiết lập bao trùm Khơng có việc kiểm tra này, kẻ cơng tái sử dụng ghi tài nguyên NSEC NSEC3 phù hợp tên miền không chuyển giao để chứng minh chuyển giao không ký tên miền Điều khẳng định tập ghi tài nguyên ký (hoặc tập tập ghi tài nguyên) có chuyển giao khơng ký, đó, khơng ký dễ bị công Mục 7.2 (5.2 RFC4035) đưa nguyên tắc cho cách xử lý chuyển giao đến Zone ký có thuật tốn KEY cơng khai khơng hỗ trợ hồn tồn thuật tốn KEY trình bày tập ghi tài nguyên DS zone Nó khơng giải cách rõ ràng cách để xử lý ghi tài ngun DS có sử dụng thuật tốn tóm tắt tin khơng hỗ trợ Tóm lại, ghi tài ngun DS có sử dụng thuật tốn tóm tắt tin khơng hỗ trợ lạ phải đối xử theo cách giống ghi tài nguyên DS tham chiếu đến ghi tài ngun DNSKEY thuật tốn KEY cơng khai không hỗ trợ lạ Tại trang RFC 6840: Nội dung là: Khi phần xác nhận khơng hỗ trợ thuật tốn liệt kê tập ghi tài nguyên DS xác thực phần xử lý khơng hỗ trợ liên kết xác thực dẫn từ cha đến Phần xử lý nên xử lý trường hợp trường hợp tập ghi tài nguyên NSEC xác thực tập ghi tài nguyên DS tồn trình bày Nói cách khác, xác định trạng thái bảo mật zone, phần xác nhận không quan tâm đến ghi tài nguyên DS xác thực có quy định thuật tốn DNSKEY khơng hỗ trợ lạ Khi khơng cịn thuật tốn phù hợp, zone xử lý chưa ký Tiêu chuẩn sửa đổi nội dung để không quan tâm đến ghi tài nguyên DS xác thực có sử dụng thuật tốn tóm tắt tin không hỗ trợ lại Trang 10 Cú pháp bit AD truy vấn không xác định trước Mục 6.6 (4.6 RFC4035) dẫn phần xử lý ln ln xóa bit AD xây dựng truy vấn Tiêu chuẩn xác định việc thiết lập bit AD truy vấn tín hiệu phần yêu cầu hiểu quan tâm đến giá trị bit AD trả lời Điều cho phép phần yêu cầu hiểu bit AD mà không yêu cầu liệu DNSSEC thông qua bit DO Mục 5.2.3 (3.2.3 RFC4035) mô tả theo điều kiện phần xử lý xác nhận nên thiết lập xóa bit AD trả lời Để tương thích với phần xử lý cụt cũ phần trung gian không hiểu không quan tâm bit AD, phần xử lý xác nhận nên thiết lập bit AD trả lời thỏa mãn điều kiện liệt kê mục 5.2.3 (3.2.3 RFC4035) yêu cầu chứa bit DO thiết lập bit AD thiết lập Khi xử lý yêu cầu có bit CD thiết lập, phần xử lý nên trả tất liệu trả lời, kể liệu có xác nhận DNSSEC không thành công Mục 5.2.2 (3.2.2 RFC4035) yêu cầu phần xử lý xử lý yêu cầu có bit CD thiết lập để thiết lập bit CD truy vấn hướng lên Tiêu chuẩn quy định thêm phần xử lý xác nhận nên thiết lập bit CD truy vấn hướng lên Điều không quan tâm bit CD thiết lập truy vấn tới hay có mỏ neo tin cật QNAME [RFC4035] không rõ ràng điều cần làm thu trả lời nhớ đệm có bit CD không thiết lập, trường hợp phát sinh phần xử lý lựa chọn không thiết lập bit CD tất truy vấn hướng lên quy định Trong trường hợp điển hình này, không yêu cầu truy vấn không cần nhớ đệm theo dõi trạng thái bit CD sử dụng để thực truy vấn cho Vấn đề phát sinh trả lời nhớ đệm lỗi máy chủ (RCODE2), liệu yêu cầu không xác nhận DNSSEC thành công phần xử lý xác nhận hướng lên ([RFC2308] cho phép nhớ đệm lỗi máy chủ lên đến phút) Trong trường hợp này, yêu cầu truy vấn có bit CD thiết lập Trang 11 Đoạn cuối mục 4.2 (2.2 RFC4035) trình bày ngun tắc mơ tả thuật toán phải sử dụng để ký zone Vì ngun tắc khó hiểu, chúng trình bày lại cách sử dụng cách diễn đạt khác sau: Các tập ghi tài nguyên DS DNSKEY sử dụng để thông báo thuật toán sử dụng để ký zone Sự có mặt thuật tốn tập ghi tài nguyên DS DNSKEY zone thông báo thuật tốn sử dụng để ký zone Một Zone ký phải chứa DNSKEY dành cho thuật tốn có tập ghi tài nguyên DS zone Trust Anchor dành cho zone Zone phải ký với thuật tốn (mặc dù khơng với khóa mã) có tập ghi tài nguyên DNSKEY Việc thêm thuật tốn DNSKEY khơng có ghi tài ngun DS khơng theo chiều ngược lại Khi có nhiều khóa thuật toán tập ghi tài nguyên DNSKEY, việc ký tập ghi tài nguyên với tập DNSKEY chấp nhận Việc ký số tập ghi tài nguyên với tập khóa (hoặc khóa) tập ghi tài nguyên khác với tập khác chấp nhận có DNSKEY thuật toán sử dụng để ký tập ghi tài nguyên Tương tự vậy, có nhiều ghi tài nguyên DS dành cho nhiều khóa thuật tốn tập chúng xuất tập ghi tài nguyên DNSKEY Trang 12 Yêu cầu áp dụng cho máy chủ, không áp dụng cho phần xác nhận Các phần xác nhận nên chấp nhận liên kết hợp pháp Chúng không nên yêu cầu tất thuật tốn thơng báo tập ghi tài nguyên DS làm việc chúng khơng u cầu tất thuật tốn thông báo tập ghi tài nguyên DNSKEY làm việc Một phần xác nhận có cấu hình tùy chọn để thực kiểm tra đầy đủ chữ ký để hỗ trợ xử lý cố Và Mục C.8 (C.8 RFC4035) thảo luận việc gửi truy vấn DS đến máy chủ zonecha không đưa cách để tìm kiếm máy chủ Các hướng dẫn cụ thể trình bày mục 6.2 (4.2 RFC4035) Trang 13 Nội dung mục C.1 (C.1 RFC4035) tham chiếu đến ví dụ mục B.1 “x.w.example.com” mục B.1 sử dụng “x.w.example” Điều dẫn đến lỗi hiển nhiên đoạn văn thứ hai đưa giá trị trường nhãn RRSIG trả lời không kết phần mở rộng ký tự đại diện Điều “x.w.example” khơng phải “x.w.example.com”, số nhãn (ngược lại, số nhãn ám trả lời kết phần mở rộng ký tự đại diện) Đoạn mục C.6 (C.6 RFC4035) có lỗi nhỏ: tham chiếu đến “a.z.w.w.example” nên thay “a.z.w.example" Thư mục tài liệu tham khảo [1] Modifications for the DNS Security Extensions", RFC 4035, March 2005 [2] RFC 4470 Weiler, S and J Ihren, “Minimally Covering NSEC Records and DNSSEC On-line Signing”, RFC 4470, April 2006 [3] RFC 6014 Hoffman, P., “Cryptographic Algorithm Identifier Allocation for DNSSEC”, RFC 6014, November 2010 [4] RFC 6840 Weiler, S., Ed And D Blacka, Ed “Clarifications and Implementation Notes for DNS Security (DNSSEC)”, RFC 6840, February 2013 [5] RFC 4035Arends, R., Austein, R., Larson, M., Massey, D., and S.Rose, “Protocol Protocol Modifications for the DNS Security Extensions”, RFC 4035, March 2005 MỤC LỤC Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ, ký hiệu chữ viết tắt 3.1 Thuật ngữ 3.2 Ký hiệu 3.3 Chữ viết tắt Ký zone 4.1 Các ghi tài nguyên DNSKEY zone 4.2 Các ghi tài nguyên RRSIG zone 4.3 Các ghi tài nguyên NSEC zone 4.4 Các ghi tài nguyên DS zone 4.5 Những thay đổi ghi tài nguyên CNAME 4.6 Các loại ghi tài nguyên DNSSEC xuất zone cut 4.7 Ví dụ zone có bảo mật Hoạt động 5.1 Các máy chủ tên miền có thẩm quyền 5.2 Recursive Name Server 5.3 Ví dụ trả lời DNSSEC Phân giải 6.1 Hỗ trợ EDNS 6.2 Hỗ trợ kiểm tra chữ ký 6.3 Xác định trạng thái bảo mật liệu 6.4 Trust Anchor cấu hình 6.5 Phản hồi đệm 6.6 Xử lý bit CD AD 6.7 Dữ liệu đệm BAD 6.8 Các CNAME đồng 6.9 Các Stub Resolver Xác thực trả lời DNS 7.1 Các vấn đề đặc biệt cô lập bảo mật 7.2 Xác thực tham chiếu 7.3 Xác thực tập ghi tài nguyên ghi tài nguyên RRSIG 7.4 Xác thực từ chối tồn 7.5 Trạng thái Resolver chữ ký khơng xác nhận 7.6 Ví dụ xác thực Các vấn đề IANA Các vấn đề bảo mật Phụ lục A (Tham khảo) - Ví dụ Zone ký Phụ lục B (Tham khảo) - Ví dụ trả lời Phụ lục C (Tham khảo) - Các ví dụ xác thực Phụ lục D (Quy định) - Các RFC cập nhật Thư mục tài liệu tham khảo