ドメインgetvalid.comのNSEC3サポートを取得して、名前のトラバースを防ぐことに興味があります。
DYN NSEC3をサポートしていないようです そしてBINDとDNSサーバーがNSEC3をサポートする機能を必要とすることは明らかです...しかし、基盤となるレジストラがNSEC3サポートに影響を与えるかどうかはわかりません。
NSEC3のレジストラで何かする必要がありますか?
DNSSECでは、ルートネームサーバーと中間ネームサーバーの役割は、ゾーンの信頼できるネームサーバーに到達するまで信頼のチェーンを提供することです。署名されたゾーンに関連付けられた公開DS
キーをホストすることを除いて、NSEC3検証では役割を果たしません。
NSEC3が機能するには、機能のサポートを義務付けるアルゴリズムを使用してゾーンに署名する必要があります。古いアルゴリズムは、-NSEC3-
識別子を含むバリアントを介してサポートされます。この方法でサポートがアドバタイズされない限り、リゾルバーは新しい機能の利用を試みません。ゾーンが正しく署名されている場合は、委任チェーンの直前にDS
キーダイジェストをネームサーバーに公開するための通常の手順に従うだけです。
から RFC5155 :
展開を支援するために、この仕様ではシグナリング手法を使用して、NSEC3を認識しないリゾルバーがNSEC3署名ゾーンからの応答を検証しようとするのを防ぎます。
この仕様では、この目的のために2つの新しいDNSKEYアルゴリズム識別子を割り当てます。アルゴリズム6、DSA-NSEC3-SHA1は、アルゴリズム3、DSAのエイリアスです。アルゴリズム7、RSASHA1-NSEC3-SHA1は、アルゴリズム5、RSASHA1のエイリアスです。これらは新しいアルゴリズムではなく、既存のアルゴリズムの追加の識別子です。
この仕様に従って署名されたゾーンは、DNSKEYRRにこれらのアルゴリズム識別子のみを使用する必要があります。これらの新しい識別子は、既存のNSEC3を認識しないリゾルバにとって未知のアルゴリズムであるため、[RFC4035]のセクション5.2で詳しく説明されているように、これらのリゾルバはNSEC3署名付きゾーンからの応答を安全でないものとして扱います。
レジストラで、ゾーンの委任に必要な有効なDS
レコードを追加できる限り、レジストラは要因になりません。
レジストラが問題を引き起こす可能性のあるいくつかのことは次のとおりです。
DS
レコードを追加できない場合は、署名された委任をまったく持つことができません(潜在的な回避策としてDLV
を使用)。特にNSEC3の問題ではなく、DNSSEC全般の問題です
DS
レコードの値(具体的にはアルゴリズムフィールド)に制限を課している場合は、NSEC3より前のアルゴリズムを使用する必要があります。
アルゴリズムの制限は私が遭遇したものではありませんが、少なくとも理論的には、誰かが古い検証コードなどを配置している可能性があります。