TCVN T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxxx : 2015 Xuất lần CÁC THAY ĐỔI TRONG GIAO THỨC ĐỐI VỚI PHẦN MỞ RỘNG BẢO MẬT DNS (DNSSEC) Protocol Modifications for the DNS Security Extensions HÀ NỘI - 2015 Mục lục Phạm vi áp dụng Tài liệu viện dẫn .8 Định nghĩa, ký tự chữ viết tắt 1.1 Định nghĩa 1.2 Ký tự 1.3 Chữ viết tắt Ký zone 11 1.4 Các ghi DNSKEY zone 11 1.5 Các ghi RRSIG zone .11 1.6 Các ghi NSEC zone 12 1.7 Các ghi DS zone .12 1.8 Những thay đổi ghi tài nguyên CNAME 13 1.9 Các loại ghi DNSSEC xuất zone cut 13 1.10 Ví dụ zone có bảo mật 13 Hoạt động .13 1.11 Các máy chủ tên miền có thẩm quyền 14 1.11.1 Các ghi RRSIG trả lời 14 1.11.2 Các ghi DNSKEY trả lời 15 1.11.3 Các ghi NSEC trả lời .15 1.11.3.1 Các ghi NSEC: Trả lời khơng có liệu 15 1.11.3.2 Các ghi NSEC: Trả lời lỗi tên .15 1.11.3.3 Các ghi NSEC: Trả lời trả lời ký tự đại diện 16 1.11.3.4 Các ghi NSEC: Trả lời khơng có liệu ký tự đại diện 16 1.11.3.5 Tìm ghi NSEC 16 1.11.4 Các ghi DS trả lời 17 1.11.4.1 Trả lời truy vấn ghi DS .17 1.11.5 Trả lời truy vấn loại AXFR IXFR 18 1.11.6 Các bit AD CD trả lời có thẩm quyền 18 1.12 Recursive Name Server 19 1.12.1 Bit DO 19 1.12.2 Bit CD 19 1.12.3 Bit AD 20 1.13 Ví dụ trả lời DNSSEC .20 Phân giải 20 TCVN xxxx :2015 1.14 Hỗ trợ EDNS 20 1.15 Hỗ trợ kiểm tra chữ ký 20 1.16 Xác định trạng thái bảo mật liệu 21 1.17 Trust Anchor cấu hình 21 1.18 Nhớ đệm trả lời .22 1.19 Xử lý bit CD AD 22 1.20 Nhớ đệm liệu BAD 22 1.21 Các CNAME đồng 23 1.22 Các Stub Resolver 23 1.22.1 Xử lý bit DO 23 1.22.2 Xử lý bit CD .23 1.22.3 Xử lý bit AD .23 Xác thực trả lời DNS .24 1.23 Các vấn đề đặc biệt Island of Security 25 1.24 Xác thực tham chiếu 25 1.25 Xác thực tập ghi ghi RRSIG 26 1.25.1 Kiểm tra tính hơp lệ ghi RRSIG 26 1.25.2 Xây dựng lại liệu ký 27 1.25.3 Kiểm tra chữ ký .28 1.25.4 Xác thực trả lời dương tập ghi có phần mở rộng ký tự đại diện 28 1.26 Phủ nhận tồn xác thực 28 1.27 Trạng thái Resolver chữ ký không xác nhận 29 1.28 Ví dụ xác thực 29 Các vấn đề IANA 29 Các vấn đề bảo mật .29 Phụ lục A – Ví dụ Signed Zone .31 Phụ lục B – Ví dụ trả lời 36 B.1 Trả lời .36 B.2 Lỗi tên 37 B.3 Lỗi khơng có liệu 38 B.4 Tham chiếu đến Signed Zone .38 B.5 Tham chiếu đến zone chưa ký 39 B.6 Phần mở rộng ký tự đại diện 39 B.7 Lỗi khơng có liệu ký tự đại diện 40 B.8 Lỗi khơng có liệu zone DS 41 Phụ lục C - Các ví dụ xác thực .42 C.1 Xác thực trả lời .42 C.2 Lỗi tên 42 TCVN xxxx : 2015 C.3 Lỗi khơng có liệu 42 C.4 Tham chiếu đến Signed Zone .43 C.5 Tham chiếu đến zone chưa ký 43 C.6 Phần mở rộng ký tự đại diện 43 C.7 Lỗi liệu ký tự đại diện 43 C.8 Lỗi khơng có liệu zone DS 43 Phụ lục D – Các RFC cập nhật .44 TCVN xxxx :2015 Lời nói đầu TCVN xxxx : 2015 xây dựng sở tham khảo tiêu chuẩn IETF RFC 4035 (03-2005) TCVN xxxx : 2015 Viện Khoa học Kỹ thuật Bưu Điện biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TCVN xxxx : 2015 TCVN xxxx :2015 TIÊUCHUẨNQUỐCGIA TCVN xxxx : 2015 Các thay đổi giao thức phần mở rộng bảo mật DNS (DNSSEC) Protocol Modifications for the DNS Security Extensions Phạm vi áp dụng Tiêu chuẩn đưa thay đổi giao thức phần mở rộng bảo mật hệ thống tên miền (DNSSEC) Tài liệu viện dẫn Tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm công bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) [0] RFC1034 Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987 [0] RFC1035 Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987 [0] RFC1122] Braden, R., "Requirements for Internet Hosts - Communication Layers", STD 3, RFC 1122, October 1989 [0] RFC2119 Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997 [0] RFC2181 Elz, R and R Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997 [0] RFC2460] Deering, S and R Hinden, "Internet Protocol, Version 6(IPv6) Specification", RFC 2460, December 1998 [0] RFC2671 Vixie, P., "Extension Mechanisms for DNS (EDNS0)", RFC 2671, August 1999 [0] RFC2672 Crawford, M., "Non-Terminal DNS Name Redirection", RFC 2672, August 1999 [0] RFC3225 Conrad, D., "Indicating Resolver Support of DNSSEC", RFC 3225, December 2001 [0] RFC3226 Gudmundsson, O., "DNSSEC and IPv6 A6 aware server/resolver message size requirements", RFC 3226, December 2001 [0] RFC4033 Arends, R., Austein, R., Larson, M., Massey, D., and S Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005 [0] RFC4034 Arends, R., Austein, R., Larson, M., Massey, D., and S Rose, "Resource Records for DNS Security Extensions", RFC 4034, March 2005 TCVN xxxx : 2015 Định nghĩa, ký tự chữ viết tắt 1.1 Định nghĩa Theo mục đích tiêu chuẩn này, định nghĩa sau áp dụng: BAD cache: Bộ nhớ liệu có chữ ký khơng hợp lệ Island of Security: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Non-Validating Security-Aware Stub Resolver: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Non-Validating Stub Resolver: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Phần mở rộng bảo mật hệ thống tên miền (DNSSEC): Tập hợp ghi tài nguyên thay đổi giao thức để bổ sung xác thực nguồn gốc liệu toàn vẹn liệu cho DNS Root Zone: Zone Root Security-Aware Name Server: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Security-Aware Recursive Name Server: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Security-Aware Resolver: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Security-Aware Stub Resolver: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Security-Oblivious < … >: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Signed Zone (Zone ký): Một zone có tập ghi ký chứa khóa công khai DNS (DNSKEY), chữ ký ghi tài nguyên (RRSIG), bảo mật (NSEC) tùy chọn ghi ký ủy quyền (DS) Stub Resolver: Tham khảo mục 3.1 TCVN xxxx: 2015 Trust Anchor: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Unsigned Zone (Zone chưa ký): Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Validating Security-Aware Stub Resolver: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Zone Apex: Tham khảo mục 3.1 TCVN xxxx: 2015 (hoặc RFC 4033) Zone Cut: Ranh giới zone Ranh giới chia tách zone (ở bên ranh giới) zone cha (ở bên ranh giới) (RFC 2181) Zone Key: Khóa zone Zone Transfer: Chuyển thông tin tên miên zone Zone: Phần liên tục riêng biệt không gian tên miền hệ thống DNS 1.2 Ký tự Theo mục đích tiêu chuẩn này, ký tự sau áp dụng: "|" tốn tử ghép 1.3 Chữ viết tắt Theo mục đích tiêu chuẩn này, chữ viết tắt sau áp dụng: AD AXFR Authentic Data Full Zone Transfer Dữ liệu chứng thực Đồng toàn phần TCVN xxxx :2015 CD CNAME DNAME DNS DNSKEY DNSSEC DO DS EDNS IANA IXFR NS NSEC OPT QCLASS QNAME 10 QTYPE RCODE RDATA RR RRSIG SCLASS SNAME SOA Checking Disabled Canonical Name Delegation Name Domain Name System DNS Public KEY DNS Security Extensions DNSSEC OK Delegation Signer Extension Mechanisms for DNS Internet Assigned Numbers Authority Incremental Zone Transfer Name Server Next Secure Option Query CLASS Qualified NAME (a target domain name) Query TYPE Response CODE Repair DATA Resource Record Resource Record Signature the QCLASS of the search request the domain name we are searching for Start of (a zone of) Authority STYPE TC TTL the QTYPE of the search request Truncated Time to Live Kiểm tra vơ hiệu hóa Tên tắc Tên ủy quyền Hệ thống tên miền Khóa cơng khai DNS Phần mở rộng bảo mật DNS Ký ủy quyền Các chế mở rộng cho DNS Tổ chức cấp phát số hiệu Internet Đồng phần Máy chủ tên miền Bảo mật Tùy chọn Lớp truy vấn Tên miền đích Loại truy vấn Mã trả lời Dữ liệu thay Bản ghi tài nguyên Chữ ký ghi tài nguyên QCLASS truy vấn tìm kiếm Tên miền cần tìm kiếm (Bản ghi tài nguyên) xuất phát (của zone) có thẩm quyền QTYPE truy vấn tìm kiếm Bị cắt Thời gian tồn TCVN xxxx :2015 20040409183619 38519 example OMK8rAZlepfzLWW75Dxd63jy2wswESzxDKG2 f9AMN1CytCd10cYISAxfAdvXSZ7xujKAtPbc tvOQ2ofO7AZJ+d01EeeQTVBPq4/6KCWhqe2X TjnkVLNvvhnc0u28aoSsG0+4InvkkOHknKxw 4kX18MMR34i8lC36SR5xBni8vHI= ) 3600 NSEC x.w.example MX RRSIG NSEC 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example r/mZnRC3I/VIcrelgIcteSxDhtsdlTDt8ng9 HSBlABOlzLxQtfgTnn8f+aOwJIAFe1Ee5RvU 5cVhQJNP5XpXMJHfyps8tVvfxSAXfahpYqtx 91gsmcV/1V9/bZAG55CefP9cM4Z9Y9NT9XQ8 s1InQ2UoIv6tJEaaKkP701j8OLA= ) x.w.example 3600 IN MX xx.example 3600 RRSIG MX 3600 20040509183619 ( 20040409183619 38519 example Il2WTZ+Bkv+OytBx4LItNW5mjB4RCwhOO8y1 XzPHZmZUTVYL7LaA63f6T9ysVBzJRI3KRjAP H3U1qaYnDoN1DrWqmi9RJe4FoObkbcdm7P3I kx70ePCoFgRz1Yq+bVVXCvGuAU4xALv3W/Y1 jNSlwZ2mSWKHfxFQxPtLj8s32+k= ) 3600 NSEC x.y.w.example MX RRSIG NSEC 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example aRbpHftxggzgMXdDlym9SsADqMZovZZl2QWK vw8J0tZEUNQByH5Qfnf5N1FqH/pS46UA7A4E mcWBN9PUA1pdPY6RVeaRlZlCr1IkVctvbtaI NJuBba/VHm+pebTbKcAPIvL9tBOoh+to1h6e IjgiM8PXkBQtxPq37wDKALkyn7Q= ) x.y.w.example 3600 IN MX xx.example 3600 RRSIG MX 3600 20040509183619 ( 20040409183619 38519 example k2bJHbwP5LH5qN4is39UiPzjAWYmJA38Hhia t7i9t7nbX/e0FPnvDSQXzcK7UL+zrVA+3MDj q1ub4q3SZgcbLMgexxIW3Va//LVrxkP6Xupq GtOB9prkK54QTl/qZTXfMQpW480YOvVknhvb +gLcMZBnHJ326nb/TOOmrqNmQQE= ) 3600 NSEC xx.example MX RRSIG NSEC 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example OvE6WUzN2ziieJcvKPWbCAyXyP6ef8cr6Csp ArVSTzKSquNwbezZmkU7E34o5lmb6CWSSSpg xw098kNUFnHcQf/LzY2zqRomubrNQhJTiDTX a0ArunJQCzPjOYq5t0SLjm6qp6McJI1AP5Vr QoKqJDCLnoAlcPOPKAm/jJkn3jk= ) xx.example 3600 IN A 192.0.2.10 3600 RRSIG A 3600 20040509183619 ( 20040409183619 38519 example kBF4YxMGWF0D8r0cztL+2fWWOvN1U/GYSpYP 7SoKoNQ4fZKyk+weWGlKLIUM+uE1zjVTPXoa 0Z6WG0oZp46rkl1EzMcdMgoaeUzzAJ2BMq+Y VdxG9IK1yZkYGY9AgbTOGPoAgbJyO9EPULsx kbIDV6GPPSZVusnZU6OMgdgzHV4= ) 3600 HINFO "KLH-10" "TOPS-20" 3600 RRSIG HINFO 3600 20040509183619 ( 20040409183619 38519 example 34 TCVN xxxx : 2015 GY2PLSXmMHkWHfLdggiox8+chWpeMNJLkML0 t+U/SXSUsoUdR91KNdNUkTDWamwcF8oFRjhq BcPZ6EqrF+vl5v5oGuvSF7U52epfVTC+wWF8 3yCUeUw8YklhLWlvk8gQ15YKth0ITQy8/wI+ RgNvuwbioFSEuv2pNlkq0goYxNY= ) 3600 AAAA 2001:db8::f00:baaa 3600 RRSIG AAAA 3600 20040509183619 ( 20040409183619 38519 example Zzj0yodDxcBLnnOIwDsuKo5WqiaK24DlKg9C aGaxDFiKgKobUj2jilYQHpGFn2poFRetZd4z ulyQkssz2QHrVrPuTMS22knudCiwP4LWpVTr U4zfeA+rDz9stmSBP/4PekH/x2IoAYnwctd/ xS9cL2QgW7FChw16mzlkH6/vsfs= ) 3600 NSEC example A HINFO AAAA RRSIG NSEC 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example ZFWUln6Avc8bmGl5GFjD3BwT530DUZKHNuoY 9A8lgXYyrxu+pqgFiRVbyZRQvVB5pccEOT3k mvHgEa/HzbDB4PIYY79W+VHrgOxzdQGGCZzi asXrpSGOWwSOElghPnMIi8xdF7qtCntr382W GghLahumFIpg4MO3LS/prgzVVWo= ) Bộ DNSKEY zone apex chứa hai ghi DNSKEY DNSKEY RDATA Flag ghi DNSKEY zone key Một hai ghi DNSKEY có cờ SEP thiết lập sử dụng để ký tập ghi DNSKEY zone apex; Đây khóa nên trộn để tạo ghi DS đưa vào zone cha DNSKEY khác sử dụng để ký tất tập ghi khác zone Zone chứa mục nhập ký tự đại diện, “*.w.example” Chú ý tên “*.w.example” sử dụng để xây dựng chuối NSEC RRSIG bao trùm tập ghi MX “*.w.example” có số nhãn Zone chứa hai ủy quyền Ủy quyền cho “b.example” chứa tập ghi NS, ghi địa liên kết ghi NSEC; ý tập ghi NSEC ký Ủy quyền cho “a.example” cung cấp ghi DS; ý tập ghi NSEC DS ký 35 TCVN xxxx :2015 Phụ lục B – Ví dụ trả lời Các ví dụ phụ lục trình bày tin trả lời sử dụng Signed Zone trình bày phụ lục A B.1 Trả lời Một truy vấn thành công máy chủ có thẩm quyền ;; Header: QR AA DO RCODE=0 ;; ;; Question x.w.example IN MX ;; Answer x.w.example 3600 IN MX xx.example x.w.example 3600 RRSIG MX 3600 20040509183619 ( 20040409183619 38519 example Il2WTZ+Bkv+OytBx4LItNW5mjB4RCwhOO8y1 XzPHZmZUTVYL7LaA63f6T9ysVBzJRI3KRjAP H3U1qaYnDoN1DrWqmi9RJe4FoObkbcdm7P3I kx70ePCoFgRz1Yq+bVVXCvGuAU4xALv3W/Y1 jNSlwZ2mSWKHfxFQxPtLj8s32+k= ) ;; Authority example example example ;; Additional xx.example xx.example 3600 NS ns1.example 3600 NS ns2.example 3600 RRSIG NS 3600 20040509183619 ( 20040409183619 38519 example gl13F00f2U0R+SWiXXLHwsMY+qStYy5k6zfd EuivWc+wd1fmbNCyql0Tk7lHTX6UOxc8AgNf 4ISFve8XqF4q+o9qlnqIzmppU3LiNeKT4FZ8 RO5urFOvoMRTbQxW3U0hXWuggE4g3ZpsHv48 0HjMeRaZB/FRPGfJPajngcq6Kwg= ) 3600 IN A 192.0.2.10 3600 RRSIG A 3600 20040509183619 ( 20040409183619 38519 example kBF4YxMGWF0D8r0cztL+2fWWOvN1U/GYSpYP 7SoKoNQ4fZKyk+weWGlKLIUM+uE1zjVTPXoa 0Z6WG0oZp46rkl1EzMcdMgoaeUzzAJ2BMq+Y VdxG9IK1yZkYGY9AgbTOGPoAgbJyO9EPULsx kbIDV6GPPSZVusnZU6OMgdgzHV4= ) xx.example 3600 AAAA 2001:db8::f00:baaa xx.example 3600 RRSIG AAAA 3600 20040509183619 ( 20040409183619 38519 example Zzj0yodDxcBLnnOIwDsuKo5WqiaK24DlKg9C aGaxDFiKgKobUj2jilYQHpGFn2poFRetZd4z ulyQkssz2QHrVrPuTMS22knudCiwP4LWpVTr U4zfeA+rDz9stmSBP/4PekH/x2IoAYnwctd/ xS9cL2QgW7FChw16mzlkH6/vsfs= ) ns1.example 3600 IN A 192.0.2.1 ns1.example 3600 RRSIG A 3600 20040509183619 ( 20040409183619 38519 example F1C9HVhIcs10cZU09G5yIVfKJy5yRQQ3qVet 5pGhp82pzhAOMZ3K22JnmK4c+IjUeFp/to06 im5FVpHtbFisdjyPq84bhTv8vrXt5AB1wNB+ 36 TCVN xxxx : 2015 +iAqvIfdgW4sFNC6oADb1hK8QNauw9VePJhK v/iVXSYC0b7mPSU+EOlknFpVECs= ) ns2.example 3600 IN A 192.0.2.2 ns2.example 3600 RRSIG A 3600 20040509183619 ( 20040409183619 38519 example V7cQRw1TR+knlaL1z/psxlS1PcD37JJDaCMq Qo6/u1qFQu6x+wuDHRH22Ap9ulJPQjFwMKOu yfPGQPC8KzGdE3vt5snFEAoE1Vn3mQqtu7SO 6amIjk13Kj/jyJ4nGmdRIc/3cM3ipXFhNTKq rdhx8SZ0yy4ObIRzIzvBFLiSS8o= ) B.2 Lỗi tên Lỗi tên có thẩm quyền ghi NSEC tên không tồn khơng có ký tự đại diện bao trùm tồn ;; Header: QR AA DO RCODE=3 ;; ;; Question ml.example IN A ;; Answer ;; (empty) ;; Authority example example b.example b.example example example 3600 IN SOA ns1.example bugs.x.w.example ( 1081539377 3600 300 3600000 3600 ) 3600 RRSIG SOA 3600 20040509183619 ( 20040409183619 38519 example ONx0k36rcjaxYtcNgq6iQnpNV5+drqYAsC9h 7TSJaHCqbhE67Sr6aH2xDUGcqQWu/n0UVzrF vkgO9ebarZ0GWDKcuwlM6eNB5SiX2K74l5LW DA7S/Un/IbtDq4Ay8NMNLQI7Dw7n4p8/rjkB jV7j86HyQgM5e7+miRAz8V01b0I= ) 3600 NSEC ns1.example NS RRSIG NSEC 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example GNuxHn844wfmUhPzGWKJCPY5ttEX/RfjDoOx 9ueK1PtYkOWKOOdiJ/PJKCYB3hYX+858dDWS xb2qnV/LSTCNVBnkm6owOpysY97MVj5VQEWs 0lm9tFoqjcptQkmQKYPrwUnCSNwvvclSF1xZ vhRXgWT7OuFXldoCG6TfVFMs9xE= ) 3600 NSEC a.example NS SOA MX RRSIG NSEC DNSKEY 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example O0k558jHhyrC97ISHnislm4kLMW48C7U7cBm FTfhke5iVqNRVTB1STLMpgpbDIC9hcryoO0V Z9ME5xPzUEhbvGnHd5sfzgFVeGxr5Nyyq4tW SDBgIBiLQUv1ivy29vhXy7WgR62dPrZ0PWvm jfFJ5arXf4nPxp/kEowGgBRzY/U= ) ;; Additional ;; (empty) 37 TCVN xxxx :2015 B.3 Lỗi khơng có liệu Trả lời “no data” ghi NSEC tên tồn loại ghi yêu cầu không tồn ;; Header: QR AA DO RCODE=0 ;; ;; Question ns1.example IN MX ;; Answer ;; (empty) ;; Authority example 3600 IN SOA ns1.example bugs.x.w.example ( 1081539377 3600 300 3600000 3600 ) example 3600 RRSIG SOA 3600 20040509183619 ( 20040409183619 38519 example ONx0k36rcjaxYtcNgq6iQnpNV5+drqYAsC9h 7TSJaHCqbhE67Sr6aH2xDUGcqQWu/n0UVzrF vkgO9ebarZ0GWDKcuwlM6eNB5SiX2K74l5LW DA7S/Un/IbtDq4Ay8NMNLQI7Dw7n4p8/rjkB jV7j86HyQgM5e7+miRAz8V01b0I= ) ns1.example 3600 NSEC ns2.example A RRSIG NSEC ns1.example 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example I4hj+Kt6+8rCcHcUdolks2S+Wzri9h3fHas8 1rGN/eILdJHN7JpV6lLGPIh/8fIBkfvdyWnB jjf1q3O7JgYO1UdI7FvBNWqaaEPJK3UkddBq ZIaLi8Qr2XHkjq38BeQsbp8X0+6h4ETWSGT8 IZaIGBLryQWGLw6Y6X8dqhlnxJM= ) ;; Additional ;; (empty) B.4 Tham chiếu đến Signed Zone Bản ghi DS chứa liệu mà Resolver cần để xác nhận ghi DNSKEY tương ứng zone apex zone ;; Header: QR DO RCODE=0 ;; ;; Question mc.a.example IN MX ;; Answer ;; (empty) ;; Authority a.example a.example a.example a.example 38 3600 IN NS ns1.a.example 3600 IN NS ns2.a.example 3600 DS 57855 ( B6DCD485719ADCA18E5F3D48A2331627FDD3 636B ) 3600 RRSIG DS 3600 20040509183619 ( 20040409183619 38519 example TCVN xxxx : 2015 oXIKit/QtdG64J/CB+Gi8dOvnwRvqrto1AdQ oRkAN15FP3iZ7suB7gvTBmXzCjL7XUgQVcoH kdhyCuzp8W9qJHgRUSwKKkczSyuL64nhgjuD EML8l9wlWVsl7PR2VnZduM9bLyBhaaPmRKX/ Fm+v6ccF2EGNLRiY08kdkz+XHHo= ) ;; Additional ns1.a.example 3600 IN A 192.0.2.5 ns2.a.example 3600 IN A 192.0.2.6 B.5 Tham chiếu đến zone chưa ký Bản ghi NSEC khơng có ghi DS dành cho ủy quyền tồn zone cha ;; Header: QR DO RCODE=0 ;; ;; Question mc.b.example IN MX ;; Answer ;; (empty) ;; Authority b.example b.example b.example b.example 3600 IN NS ns1.b.example 3600 IN NS ns2.b.example 3600 NSEC ns1.example NS RRSIG NSEC 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example GNuxHn844wfmUhPzGWKJCPY5ttEX/RfjDoOx 9ueK1PtYkOWKOOdiJ/PJKCYB3hYX+858dDWS xb2qnV/LSTCNVBnkm6owOpysY97MVj5VQEWs 0lm9tFoqjcptQkmQKYPrwUnCSNwvvclSF1xZ vhRXgWT7OuFXldoCG6TfVFMs9xE= ) ;; Additional ns1.b.example 3600 IN A 192.0.2.7 ns2.b.example 3600 IN A 192.0.2.8 B.6 Phần mở rộng ký tự đại diện Một truy vấn thành công trả lời thông qua phần mở rộng ký tự đại diện Số nhãn ghi RRSIG trả lời tập ghi ký tự đại diện mở rộng để tạo nên trả lời ghi NSEC khơng có phù hợp tồn zone ;; Header: QR AA DO RCODE=0 ;; ;; Question a.z.w.example IN MX ;; Answer a.z.w.example 3600 IN MX ai.example a.z.w.example 3600 RRSIG MX 3600 20040509183619 ( 20040409183619 38519 example OMK8rAZlepfzLWW75Dxd63jy2wswESzxDKG2 f9AMN1CytCd10cYISAxfAdvXSZ7xujKAtPbc tvOQ2ofO7AZJ+d01EeeQTVBPq4/6KCWhqe2X TjnkVLNvvhnc0u28aoSsG0+4InvkkOHknKxw 4kX18MMR34i8lC36SR5xBni8vHI= ) ;; Authority example example 3600 NS 3600 NS ns1.example ns2.example 39 TCVN xxxx :2015 example 3600 RRSIG NS 3600 20040509183619 ( 20040409183619 38519 example gl13F00f2U0R+SWiXXLHwsMY+qStYy5k6zfd EuivWc+wd1fmbNCyql0Tk7lHTX6UOxc8AgNf 4ISFve8XqF4q+o9qlnqIzmppU3LiNeKT4FZ8 RO5urFOvoMRTbQxW3U0hXWuggE4g3ZpsHv48 0HjMeRaZB/FRPGfJPajngcq6Kwg= ) x.y.w.example 3600 NSEC xx.example MX RRSIG NSEC x.y.w.example 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example OvE6WUzN2ziieJcvKPWbCAyXyP6ef8cr6Csp ArVSTzKSquNwbezZmkU7E34o5lmb6CWSSSpg xw098kNUFnHcQf/LzY2zqRomubrNQhJTiDTX a0ArunJQCzPjOYq5t0SLjm6qp6McJI1AP5Vr QoKqJDCLnoAlcPOPKAm/jJkn3jk= ) ;; Additional ai.example 3600 IN A 192.0.2.9 ai.example 3600 RRSIG A 3600 20040509183619 ( 20040409183619 38519 example pAOtzLP2MU0tDJUwHOKE5FPIIHmdYsCgTb5B ERGgpnJluA9ixOyf6xxVCgrEJW0WNZSsJicd hBHXfDmAGKUajUUlYSAH8tS4ZnrhyymIvk3u ArDu2wfT130e9UHnumaHHMpUTosKe22PblOy 6zrTpg9FkS0XGVmYRvOTNYx2HvQ= ) ai.example 3600 AAAA 2001:db8::f00:baa9 ai.example 3600 RRSIG AAAA 3600 20040509183619 ( 20040409183619 38519 example nLcpFuXdT35AcE+EoafOUkl69KB+/e56XmFK kewXG2IadYLKAOBIoR5+VoQV3XgTcofTJNsh 1rnF6Eav2zpZB3byI6yo2bwY8MNkr4A7cL9T cMmDwV/hWFKsbGBsj8xSCN/caEL2CWY/5XP2 sZM6QjBBLmukH30+w1z3h8PUP2o= ) B.7 Lỗi khơng có liệu ký tự đại diện Trả lời “no data” dành cho tên ký tự đại diện bao trùm Các ghi NSEC tên ký tự đại diện phù hợp khơng có ghi loại u cầu khơng có phù hợp tồn zone ;; Header: QR AA DO RCODE=0 ;; ;; Question a.z.w.example IN AAAA ;; Answer ;; (empty) ;; Authority example example 40 3600 IN SOA ns1.example bugs.x.w.example ( 1081539377 3600 300 3600000 3600 ) 3600 RRSIG SOA 3600 20040509183619 ( 20040409183619 38519 example ONx0k36rcjaxYtcNgq6iQnpNV5+drqYAsC9h 7TSJaHCqbhE67Sr6aH2xDUGcqQWu/n0UVzrF TCVN xxxx : 2015 vkgO9ebarZ0GWDKcuwlM6eNB5SiX2K74l5LW DA7S/Un/IbtDq4Ay8NMNLQI7Dw7n4p8/rjkB jV7j86HyQgM5e7+miRAz8V01b0I= ) x.y.w.example 3600 NSEC xx.example MX RRSIG NSEC x.y.w.example 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example OvE6WUzN2ziieJcvKPWbCAyXyP6ef8cr6Csp ArVSTzKSquNwbezZmkU7E34o5lmb6CWSSSpg xw098kNUFnHcQf/LzY2zqRomubrNQhJTiDTX a0ArunJQCzPjOYq5t0SLjm6qp6McJI1AP5Vr QoKqJDCLnoAlcPOPKAm/jJkn3jk= ) *.w.example 3600 NSEC x.w.example MX RRSIG NSEC *.w.example 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example r/mZnRC3I/VIcrelgIcteSxDhtsdlTDt8ng9 HSBlABOlzLxQtfgTnn8f+aOwJIAFe1Ee5RvU 5cVhQJNP5XpXMJHfyps8tVvfxSAXfahpYqtx 91gsmcV/1V9/bZAG55CefP9cM4Z9Y9NT9XQ8 s1InQ2UoIv6tJEaaKkP701j8OLA= ) ;; Additional ;; (empty) B.8 Lỗi khơng có liệu zone DS Trả lời “no data” dành cho truy vấn QTYPE=DS gửi nhầm tới máy chủ tên miền dành cho zone ;; Header: QR AA DO RCODE=0 ;; ;; Question example IN DS ;; Answer ;; (empty) ;; Authority example 3600 IN SOA ns1.example bugs.x.w.example ( 1081539377 3600 300 3600000 3600 ) example 3600 RRSIG SOA 3600 20040509183619 ( 20040409183619 38519 example ONx0k36rcjaxYtcNgq6iQnpNV5+drqYAsC9h 7TSJaHCqbhE67Sr6aH2xDUGcqQWu/n0UVzrF vkgO9ebarZ0GWDKcuwlM6eNB5SiX2K74l5LW DA7S/Un/IbtDq4Ay8NMNLQI7Dw7n4p8/rjkB jV7j86HyQgM5e7+miRAz8V01b0I= ) example 3600 NSEC a.example NS SOA MX RRSIG NSEC DNSKEY example 3600 RRSIG NSEC 3600 20040509183619 ( 20040409183619 38519 example O0k558jHhyrC97ISHnislm4kLMW48C7U7cBm FTfhke5iVqNRVTB1STLMpgpbDIC9hcryoO0V Z9ME5xPzUEhbvGnHd5sfzgFVeGxr5Nyyq4tW SDBgIBiLQUv1ivy29vhXy7WgR62dPrZ0PWvm jfFJ5arXf4nPxp/kEowGgBRzY/U= ) ;; Additional ;; (empty) 41 TCVN xxxx :2015 Phụ lục C - Các ví dụ xác thực Các ví dụ phụ lục trình bày cách tin trả lời phụ lục B xác thực C.1 Xác thực trả lời Truy vấn mục B.1 trả tập ghi MX dành cho “x.w.example” RRSIG tương ứng tập ghi MX DNSKEY “example” ký với thuật toán thẻ khóa 38519 Resolver cần ghi DNSKEY tương ứng để xác thực trả lời Nội dung trình bày cách Resolver có ghi DNSKEY RRSIG TTL ban đầu tập ghi MX 3600 mục đích xác thực, TTL thay 3600 Giá trị trường nhãn RRSIG trả lời không kết phần mở rộng ký tự đại diện Tập ghi MX “x.w.example.com” đặt dạng tắc giả thiết thời gian nằm thời điểm hết hạn bắt đầu chữ ký, chữ ký xác thực C.1.1 Xác thực ghi DNSKEY “example” Ví dụ trình bày q trình xác thực lơ gisc DNSKEY gốc cấu hình di chuyển xuống để xác thực ghi DNSKEY “example” mong muốn Thực lựa chọn để xây dựng xác thực tham chiếu nhận để xây dựng chuỗi xác thực sau tất tập ghi thu kết hợp khác mà thấy phù hợp Ở đây, ví dụ mơ tả q trình lơ gic khơng giải thích nguyên tắc thực Giá thiết Resolver bắt đầu với ghi DNSKEY cấu hình dành cho root zone (hoặc ghi DS cấu hình dành cho root zone) Resolver kiểm tra xem ghi DNSKEY cấu hình có có tập ghi DNSKEY gốc (hoặc xem ghi DS có phù hợp DNSKEY tập ghi DNSKEY gốc), xem ghi DNSKEY ký tập ghi DNSKEY gốc xem thời gian tồn chữ ký có hợp lệ Khi tất điều kiện thỏa mãn, tất tập ghi DNSKEY xem xác thực Tiếp theo Resolver sử dụng (hoặc nhiều) ghi DNSKEY gốc để xác thực tập ghi DS “example” Chú ý Resolver phải truy vấn root zone để thu tập ghi DNSKEY gốc tập ghi DS “example” Khi tập ghi DS xác thực cách sử dụng DNSKEY gốc, Resolver kiểm ta tập ghi DNSKEY “example” dành cho ghi DNSKEY “example” phù hợp ghi DS “example” xác thực Khi môt ghi DNSKEY ký tập ghi DNSKEY “example” thời gian tồn chữ ký hợp lệ Khi điều kiện thỏa mãn, tất khóa tong tập ghi DNSKEY “example” xem xác thực Cuối cùng, Resolver kiểm ta xem ghi DNSKEY tập ghi DNSKEY “example” sử dụng thuật tốn có thẻ khóa 38519 DNSKEY sử dụng để xác thực RRSIG chứa trả lời Khi nhiều ghi DNSKEY “example” phù hợp thuật tốn thẻ khóa ghi DNSKEY thử trả lời xác thực ghi DNSKEY phù hợp xác nhận chữ ký trình bày C.2 Lỗi tên Truy vấn mục B.2 trả ghi NSEC liệu yêu cầu khơng tồn khơng có ký tự đại diện áp dụng Việc kiểm tra hai ghi NSEC xác thực trả lời âm Các ghi NSEC xác thực theo cách giống cách tập ghi MX trình bày C.3 Lỗi khơng có liệu Truy vấn mục B.3 trả ghi NSEC tên yêu cầu tồn loại ghi yêu cầu không tồn Việc kiểm tra ghi NSEC xác thực trả lời âm ghi NSEC xác thực theo cách giống cách tập ghi MX trình bày 42 TCVN xxxx : 2015 C.4 Tham chiếu đến Signed Zone Truy vấn mục B.4 trả tham chiếu đến Signed Zone “example” Bản ghi DS xác thực theo cách giống cách tập ghi MX trình bày Bản ghi DS sử dụng để xác thực tập ghi DNSKEY “a.example” Khi tập ghi DS “a.example” xác thực cách sử dụng DNSKEY “example”, Resolver kiểm tra tập ghi DNSKEY “a.example” dành cho ghi DNSKEY “a.example” phù hợp ghi DS Khi DNSKEY “a.example” phù hợp tìm thấy, Resolver kiểm tra xem ghi DNSKEY ký DNSKEY “a.example” vDNSKEY “a.example” xem thời gian tồn chữ ký có hợp lệ Khi tất điều kiện thỏa mãn, tất khóa tập ghi DNSKEY “a.example” xem làm xác thực C.5 Tham chiếu đến zone chưa ký Truy vấn mục B.5 trả tham chiếu đến zone chưa ký “b.example” NSEC khơng có xác thực dẫn từ “example” đến “b.example” ghi NSEC xác thực theo cách giống cách tập ghi MX trình bày C.6 Phần mở rộng ký tự đại diện Truy vấn mục B.6 trả trả lời tạo kết phần mở rộng ký tự đại diện Phần trả lời chứa tập ghi ký tự đại diện mở rộng thuộc trả lời DNS truyền thống RRSIG tương ứng tập ghi MX ký tự đại diện mở rộng DNSKEY “example” ký với thuật toán thẻ khóa 38519 RRSIG TTL ban đầu tập ghi MX 3600 dành cho mục đích xác thực, TTL thay 3600 Giá trị trường nhãn RRSIG trả lời kết phần mở rộng ký tự đại diện tên “a.z.w.example” chứa nhãn Tên “a.z.w.w.example” thay “*.w.example”, tập ghi MX đặt theo dạng tắc giả thiết thời gian nằm thời điểm hết hạn bắt đầu chữ ký, chữ ký xác thực NSEC khơng có phù hợp ( giống gần giống ký tự đại diện) sử dụng để trả lời truy vấn ghi NSEC phải xác thực trước trả lời xem hợp lệ C.7 Lỗi liệu ký tự đại diện Truy vấn mục B.7 trả ghi NSEC liệu yêu cầu không tồn khơng có ký tự đại diện áp dụng Việc kiểm tra hai ghi NSEC xác thực trả lời âm C.8 Lỗi khơng có liệu zone DS Truy vấn mục B.8 trả ghi NSEC máy chủ ( máy chủ “example”) trả lời truy vấn yêu cầu Bản ghi NSEC có mặt ghi SOA trả lời từ zone Các truy vấn dành cho tập ghi DS “example” nên gửi đến máy chủ cha (các máy chủ “gốc”) 43 TCVN xxxx :2015 Phụ lục D – Các RFC cập nhật Tiêu chuẩn xây dựng dựa RFC 4035 Theo quy luật tất yếu, RFC 4035 cập nhật thông tin RFC trước RFC ban hành RFC 4035, RFC 4470, RFC 6014 RFC 6840, cập nhật thông tin cho RFC 4035 Phụ lục trình bày thông tin cập nhật cho RFC 4035 Để việc tham khảo thuận tiện, mục tiêu chuẩn liên hệ với mục tương ứng RFC 4035 D.1 RFC 4470 “Minimally Covering NSEC Records and DNSSEC On-line Signing” – RFC 4470 “Các ghi NSEC bao trùm tối thiểu ký trực tuyến DNSSEC”, 2006-04 Trang 3: Ánh xạ loại ghi NSEC tạo phải có bit RRSIG NSEC thiết lập khơng nên có bit khác thiết lập Điều nới lỏng yêu cầu mục 5.3 (2.3 RFC 4035) ghi NSEC không xuất tên khơng tồn trước zone ký D.2 RFC 6014 “Cryptographic Algorithm Identifier Allocation for DNSSEC” - RFC 6014 “Phân bố nhận dạng thuật toán mật mã DNSSEC”, 2010-11 Trang 3: Các yêu cầu ấn định việc ký số thuật toán bảo mật DNS Tiêu chuẩn thay đổi yêu cầu ký từ RFC tiêu chuẩn tham chiếu sang RFC xuất loại Có hai lý để lới lỏng yêu cầu là: - Có số thuật tốn có ích khơng thể nằm RFC tiêu chuẩn tham chiếu Vì lý đó, thuật tốn khơng đánh giá đủ kỹ lưỡng để thành tiêu chuẩn tham chiếu Hoặc thuật tốn có quyền sở hữu trí tuệ khơng rõ ràng ngăn cản thuật toán xây dựng thành tiêu chuẩn tham chiếu - Mặc dù không gian ký bị hạn chế (khoảng 250 số), thuật tốn đề xuất khơng thường xun Nó kéo dài nhiều thập kỷ trước có lý để xem xét lại việc hạn chế ký Một số nhà phát triển quan tâm đến mức tiêu chuẩn RFC việc ký Việc ký cập nhật để phản ảnh mức tiêu chuẩn thuật toán liệt kê Để giải lo ngại việc đầy số ký, IETF nên đánh giá lại yêu cầu số ký số ký ấn định xấp xỉ 120 Việc đánh giá dẫn đến hạn chế chặt chẽ chế để mở rộng không gian ký Để việc đánh giá khả thi hơn, IANA đánh dấu khoảng nửa số ký khả dụng “Dự phỏng” để việc đánh giá lại có thời gian rõ ràng Các giá trị 253 254 dành cho nhà phát triển muốn kiểm tra thuật tốn khơng nằm RFC Tiêu chuẩn khơng làm thay đổi cú phát hai giá trị D.3 RFC 6840 “Clarifications and Implementation Notes for DNS Security (DNSSEC)” - RFC 6840 “Các ý làm rõ thực phần mở rộng bảo mật DNS (DNSSEC)”, 2013-02 Trang 5: Mục 8.4 (5.4 RFC4035) chưa quy định thuật toán để kiểm tra chứng khơng tồn Cụ thể là, thuật tốn trình bày cho phép phần xác nhận dịch NSEC NSEC3 ghi từ zone nhóm cấp cao để chứng minh không tồn ghi zone Một ghi NSEC (hoặc ghi NSEC3) “ủy quyền nhóm cấp cao” ghi có: - Bit NS thiết lập, - Bit SOA bị xóa - Trường Signer ngắn tên sở hữu ghi NSEC tên sở hữu ban đầu ghi NSEC3 44 TCVN xxxx : 2015 Trang Các ghi NSEC NSEC3 ủy quyền nhóm cấp cao không sử dụng để giả thiết sử không tồn ghi zone cut có chứa tất ghi tên sở hữu (ban đầu) khác ghi DS tất ghi tên sở hữu loại Tương tự vậy, thuật toán cho phép ghi NSEC tên sở hữu giống ghi DNAME NSEC3 tên sở hữu ban đầu giống ghi DNAME để chứng minh khơng tồn tên bên DNAME Một ghiNSEC NSEC3 có bit DNAME thiết lập không sử dụng để giả thiết không tồn miền tên sở hữu (ban đầu) NSEC/NSEC3 [RFC4035] không đưa cách xác nhận trả lời QTYPE=* Trong mục 6.2.2 [RFC1034] đưa ra, trả lời phù hợp QTYPE=* chữa tập tập ghi tên cho Tức là, việc chứa tất tập ghi QNAME trả lời không cần thiết Khi xác nhận trả lời QTYPE=*, tất tập ghi nhận phù hợp với QNAME QCLASS phải xác nhận Khi có tập ghi không xác nhận, trả lời xem giả mạo Khi khơng có tập ghi phù hợp QNAME QCLASS, điều phải xác nhận theo nguyên tắc mục 8.4 (5.4 RFC4035) Tức là, phần xác nhận không nhận tất ghi QNAME để phàn hồi QTYPE=* Mục (5 RFC4035) trình bày khơng có rõ ràng việc xác nhận trả lời dựa (hoặc nên dựa trên) CNAME Khi xác nhận trả lời NOERROR/NODATA, phần xác nhận phải kiểm tra bit CNAME ánh xạ loại ghi NSEC NSEC3 bit dành cho loại truy vấn Nếu khơng có việc kiểm tra này, kẻ cộng chuyển đổi thành cơng trả lời CNAME dương thành trả lời NOERROR/NODATA (ví dụ như) cách đơn giản lấy tập ghi CNAME từ trả lời Sau đó, phần xác nhận khơng có nghi ngờ xác nhận QTYPE khơng có ghi NSEC/NSEC3 phù hợp không nhận thấy bit CNAME thiết lập, đó, trả lời nên trả lời CNAME dương Trang Mục 8.2 (5.2 RFC4035) quy định chứng minh ủy quyền khơng bảo mật phần xác nhận cần kiểm tra thiếu vắng bit DS SOA ánh xạ loại NSEC (hoặc NSEC3) Phần xác nhận phải kiểm tra thiếu vắng bit NS ghi NSEC (hoặc NSEC3) phù hợp (chứng minh thực có ủy quyền) đảm bảo ủy quyền ghi NSEC3 có cờ Opt-Out thiết lập bao trùm Khơng có việc kiểm tra này, kẻ cơng tái sử dụng ghi NSEC NSEC3 phù hợp tên không ủy quyền để chứng minh ủy quyền khơng ký tên Điều khẳng định tập ghi ký (hoặc tập tập ghi) có ủy quyền khơng ký, đó, khơng ký dễ bị công Mục 8.2 (5.2 RFC4035) đưa nguyên tắc cho cách xử lý ủy quyền đến Signed Zone có thuật tốn KEY cơng khai khơng hỗ trợ hồn tồn thuật tốn KEY trình bày tập ghi DS zone Nó khơng giải cách rõ ràng cách để xử lý ghi DS có sử dụng thuật tốn tóm tắt tin khơng hỗ trợ Tóm lại, ghi DS có sử dung thuật tốn tóm tắt tin khơng hỗ trợ lạ phải đối xử theo cách giống ghi DS tham chiếu đến ghi DNSKEY thuật tốn KEY cơng khai không hỗ trợ lạ Trang Nội dung là: 45 TCVN xxxx :2015 Khi phần xác nhận khơng hỗ trợ thuật tốn liệt kê tập ghi DS xác thực phần xử lý khơng hỗ trợ liên kết xác thực dẫn từ cha đến Phần xử lý nên xử lỷ trường hợp trường hợp tập ghi NSEC xác thực khơng có tập ghi DS tồn trình bày Nói cách khác, xác định trạng thái bảo mật zone, phần xác nhận không quan tâm đến ghi DS xác thực có quy định thuật tốn DNSKEY khơng hỗ trợ lạ Khi khơng cịn thuật tốn phù hợp, zone xử lý chưa ký Tiêu chuẩn sửa đổi nội dung để không quan tâm đến ghi DS xác thực có sử dụng thuật tốn tóm tắt tin không hỗ trợ lại Trang 10 Cú pháp bit AD truy vấn không xác định trước Mục 7.6 (4.6 RFC4035) dẫn phần xử lý ln ln xóa bit AD xây dựng truy vấn Tiêu chuẩn xác định việc thiết lập bit AD truy vấn tín hiệu phần yêu cầu hiểu quan tâm đến giá trị bit AD trả lời Điều cho phép phần yêu cầu hiểu bit AD mà không yêu cầu liệu DNSSEC thông qua bit DO Mục 6.2.3 (3.2.3 RFC4035) mô tả theo điều kiện phần xử lý xác nhận nên thiết lập xóa bit AD trả lời Để tương thích với phần xử lý cụt cũ phần trung gian không hiểu không quan tâm bit AD, phẩn xử lý xác nhận nên thiết lập bit AD trả lời thỏa mãn điều kiện liệt kê mục 6.2.3 (3.2.3 RFC4035) yêu cầu chứa bit DO thiết lập bit AD thiết lập Khi xử lý yêu cầu có bit CD thiết lập, phần xử lý nên trả tất liệu trả lời, kể liệu có xác nhận DNSSEC không thành công Mục 6.2.2 (3.2.2 RFC4035) yêu cầu phần xử lý xử lý yêu cầu có bit CD thiết lập để thiết lập bit CD truy vấn hướng lên Tiêu chuẩn quy định thêm phần xử lý xác nhận nên thiết lập bit CD truy vấn hướng lên Điều không quan tâm bit CD thiết lập truy vấn tới hay có mỏ neo tin cật QNAME [RFC4035] không rõ ràng điều cần làm thu trả lời nhớ đệm có bit CD không thiết lập, trường hợp phát sinh phần xử lý lựa chọn không thiết lập bit CD tất các truy vấn hướng lên quy định Trong trường hợp điển hình này, khơng u cầu truy vấn không cần nhớ đệm theo dõi trạng thái bit CD sử dụng để thực truy vấn cho Vấn đề phát sinh trả lời nhớ đệm lỗi máy chủ (RCODE2), liệu yêu cầu không xác nhận DNSSEC thành công phần xử lý xác nhận hướng lên ([RFC2308] cho phép nhớ đệm lỗi máy chủ lên đến phút) Trong trường hợp này, yêu cầu truy vấn có bit CD thiết lập Trang 11 Đoạn cuối mục 5.2 (2.2 RFC4035) trình bày nguyên tắc mơ tả thuật tốn phải sử dụng để ký zone Vì ngun tắc khó hiểu, chúng trình bày lại cách sử dụng cách diễn đạt khác sau: Các tập ghi DS DNSKEY sử dụng để thông báo thuật tốn sử dụng để ký zone Sự có mặt thuật toán tập ghi DS DNSKEY zone thơng báo thuật tốn sử dụng để ký zone Một Signed Zone phải chứa DNSKEY dành cho thuật toán có tập ghi DS zone Trust Anchor dành cho zone Zone phải ký với thuật tốn (mặc dù khơng với khóa mã) có tập ghi DNSKEY Việc thêm thuật tốn DNSKEY khơng có ghi DS khơng theo chiều 46 TCVN xxxx : 2015 ngược lại Khi có nhiều khóa thuật tốn tập ghi DNSKEY, việc ký tập ghi với tập DNSKEY chấp nhận Việc ký số tập ghi với tập khóa (hoặc khóa) tập ghi khác với tập khác chấp nhận có nhật DNSKEY thuật toán sử dụng để ký tập ghi Tương tự vậy, có nhiều ghi DS dành cho nhiều khóa thuật tốn tập chúng xuất tập ghi DNSKEY Trang 12 Yêu cầu áp dụng cho máy chủ, không áp dụng cho phần xác nhận Các phần xác nhận nên chấp nhận liên kết hợp pháp Chúng không nên yêu cầu tất thuật tốn thơng báo tập ghi DS làm việc chúng khơng u cầu tất thuật tốn thông báo tập ghi DNSKEY làm việc Một phần xác nhậ có cấu hình tùy chọn để thực kiểm tra đầy đủ chữ ký để hỗ trợ xử lý cố Và Mục C.8 (C.8 RFC4035) thảo luận việc gửi truy vấn DS đến máy chủ zone cha khơng đưa cách để tìm kiếm máy chủ Các hướng dẫn cụ thể trình bày mục 7.2 (4.2 RFC4035) Trang 13 Nội dung mục C.1 (C.1 RFC4035) tham chiếu đến ví dụ mục B.1 "x.w.example.com" mục B.1 sử dụng "x.w.example" Điều dẫn đến lỗi hiển nhiên đoạn văn thứ hai đưa giá trị trường nhãn RRSIG trả lởi không kết phần mở rộng ký tự đại diện Điều "x.w.example" khơng phải "x.w.example.com", số nhãn (ngược lại, số nhãn ám trả lời kết phần mở rộng ký tự đại diện) Đoạn mục C.6 (C.6 RFC4035) có lỗi nhỏ: tham chiếu đến "a.z.w.w.example"nên thay "a.z.w.example" 47 TCVN xxxx :2015 Tài liệu tham khảo RFC 4035 Arends, R., Austein, R., Larson, M., Massey, D., and S Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005 RFC 4470 Weiler, S and J Ihren, “Minimally Covering NSEC Records and DNSSEC On-line Signing”, RFC 4470, April 2006 RFC 6014 Hoffman, P., “Cryptographic Algorithm Identifier Allocation for DNSSEC”, RFC 6014, November 2010 RFC 6840 Weiler, S., Ed And D Blacka, Ed “Clarifications and Implementation Notes for DNS Security (DNSSEC)”, RFC 6840, February 2013 48