RFC: 4033
Оригинал: DNS Security Introduction and Requirements
Предыдущие версии: RFC 2065, RFC 2535, RFC 3008, RFC 3090, RFC 3445, RFC 3655, RFC 3658, RFC 3755, RFC 3757, RFC 3845
Категория: Предложенный стандарт
Дата публикации:
Авторы: , , ,
Перевод: Николай Малых

6. Преобразователи

Защищенный преобразователь способен выполнять криптографические функции, требуемые для проверки цифровых подписей, используя по крайней мере обязательные для реализации алгоритмы. Защищенные преобразователи должны также уметь формировать аутентификационные цепочки от последней полученной зоны к ключу аутентификации, как описано выше. Этот процесс может потребовать дополнительных запросов к промежуточным зонам DNS для получения требуемых записей DNSKEY, DS и RRSIG. В конфигурации защищенного преобразователя следует указывать по крайней мере одну доверенную привязку в качестве стартовой точки в которой будут начинаться попытки формирования цепочек аутентификации.

Если защищенный преобразователь отделен от уполномоченного (authoritative) сервера имен любым промежуточным устройством, играющим роль посредника (proxy) для DNS, если рекурсивный сервер имен или промежуточное устройство не являются защищенными, преобразователь может оказаться неспособным работать в защищенном режиме. Например, если пакеты защищенного преобразователя маршрутизируются через систему трансляции адресов (NAT) и устройство, включающее DNS-прокси, не является защищенным (not security-aware), для защищенного преобразователя может оказаться сложным или невозможным получение или проверка подписанных данных DNS. Особые сложности могут возникать у защищенного преобразователя при получении DS RR в таких ситуациях, поскольку DS RR не следуют обычным правилам DNS для принадлежности RR на срезе зоны. Отметим, что такие проблемы не являются спецификаой NAT — обычные (security-oblivious) программы DNS любого типа между защищенным преобразователем и уполномоченным сервером имен будут вызывать проблемы с DNSSEC.

Если защищенный преобразователь должен полагаться на неподписанную зону или сервер имен, который не понимает защитных расширений, этот преобразователь может оказаться неспособен проверить отклики DNS и ему потребуется локальная политика на основе которой будет приниматься решение о судьбе непроверенных откликов.

Защищенному преобразователю следует принимать во внимание период проверки подписи при рассмотрении времени жизни (TTL) данных в своем кэше, чтобы избежать кэширования подписанных данных на период, превышающий срок действия подписи. Однако, ему следует также допускать возможность некорректности показаний своих часов. Таким образом, защищенный преобразователь, который является часть защищенного рекурсивного сервера имен, должен аккуратно принимать во внимание бит DNSSEC CD ([RFC4034]). Это нужно для того, чтобы предотвратить блокирование корректных подписей, передаваемых другим защищенным преобразователям, которые являются клиентами данного рекурсивного сервера имен. Обработка защищенным рекурсивным сервером запросов с битом CD описана в [RFC4035].

2007 - 2017 © Русские переводы RFC, IETF, ISOC.