DNSSEC では、各ゾーンの権威 (authoritative) サーバが使う鍵は上位ゾーンの権威サーバによって署名され保証されます。 DNS ツリーのルート以下全てのゾーンが DNSSEC に対応していれば、リゾルバが持つべき鍵はルートゾーンの署名に使われる鍵ひとつとなります。しかし DNSSEC が普及していない現状では、DNSSEC に対応している個々のゾーンの鍵を各リゾルバが持っておく必要があり、DNSSEC に対応したゾーンが増えればそれだけ鍵の管理の手間も大きくなります。 このような状況に対応するための暫定的な仕組みとして、ISC(Internet Systems Consortium) では DNSSEC Lookaside Validation(DLV) という技術を提唱しています。 DLV に対応したリゾルバは、上位のゾーンで提供されるべき DS(Delegation Signer) レコードが見つからない場合に、あらかじめ設定しておいたドメインから DLV レコードを参照して DS レコードの代わりに使います。このようにして、トップレベルドメインまで DNSSEC 対応が完了していない状態でも、リゾルバ側ではごく少数の鍵を持つだけで署名を検証できるようにする仕組みを実現しています。 ISC では、BIND のバージョン 9.3.3 以降で DLV に対応するとともに、DLV Registry を運用しています。
参考文書(日本語)
-
JPCERT/CC REPORT 2008-09-03
【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)
http://www.jpcert.or.jp/wr/2008/wr083401.html#Memo
参考文書(英語)
-
ISC
ISC's DLV registry
https://secure.isc.org/ops/dlv/
-
RFC4431: The DNSSEC Lookaside Validation (DLV) DNS Resource Record
http://tools.ietf.org/html/rfc4431
-
RFC5074: DNSSEC Lookaside Validation (DLV)
http://tools.ietf.org/html/rfc5074
Weekly Report 2008-09-10号 に掲載