Network Working Group R
RFC 4034 page - - Arends & autres
Groupe de travail Réseau
R. Arends, Telematica Instituut
Request for Comments : 4034
R. Austein, ISC
RFC rendues obsolètes : 2535, 3008, 3090, 3445, 3655, 3658, 3755, 3757,
3845
M. Larson, VeriSign
RFC mises à jour : 1034, 1035, 2136, 2181, 2308, 3225, 3007, 3597, 3226
D. Massey, Colorado State University
Catégorie : En cours de normalisation
S. Rose, NIST
Tradution Claude Brière de L'Isle
mars 2005
Enregistrements de ressource pour les extensions de sécurité du DNS
Statut de ce mémoire
Le présent document spécifie un protocole Internet en cours de normalisation pour la communauté de l’Internet, et appelle
à des discussions et suggestions pour son amélioration. Prière de se reporter à l’édition actuelle du STD 1 "Normes des
protocoles officiels de l’Internet" pour connaître l’état de normalisation et le statut de ce protocole. La distribution du
présent mémoire n’est soumise à aucune restriction.
Notice de copyright
Copyright (C) The Internet Society (2005). Tous droits réservés
Résumé
Le présent document fait partie d'une famille de documents qui décrivent les extensions de sécurité du DNS (DNSSEC,
DNS Security Extensions). Les extensions de sécurité du DNS sont une collection d'enregistrements de ressource et de
modifications du protocole qui fournissent l'authentification de la source pour le DNS. Ce document définit les
enregistrements de ressource de clé publique (DNSKEY), de signataire de délégation (DS), de signature numérique
d'enregistrement de ressource (RRSIG), et de non existence authentifiée (NSEC). L'objet et le format de chaque
enregistrement de ressource est décrit en détail, et un exemple de chaque enregistrement de ressource est fourni.
Le présent document rend obsolète la RFC 2535 et incorpore les changements de toutes les mises à jour à la RFC 2535.
TABLE DES MATIERES
1. INTRODUCTION ................................................................................................................................................................ 2
1.1 FONDEMENTS ET DOCUMENTS EN RAPPORT ................................................................................................... 2
1.2 MOTS RESERVES ....................................................................................................................................................... 3
2. L'ENREGISTREMENT DE RESSOURCE DNSKEY ........................................................................................................ 3
2.1 FORMAT RESEAU DE RDATA DNSKEY ............................................................................................................... 3
2.1.1 LE CHAMP FANIONS ........................................................................................................................................ 3
2.1.2 LE CHAMP PROTOCOLE .................................................................................................................................. 4
2.1.3 LE CHAMP ALGORITHME ............................................................................................................................... 4
2.1.4 LE CHAMP CLE PUBLIQUE ............................................................................................................................. 4
2.1.5 NOTES SUR LA CONCEPTION DU RDATA DE DNSKEY ........................................................................... 4
2.2 FORMAT DE PRESENTATION DU RR DNSKEY ................................................................................................... 4
2.3 EXEMPLE DE RR DNSKEY....................................................................................................................................... 4
3. ENREGISTREMENT DE RESSOURCE RRSIG ................................................................................................................ 4
3.1 FORMAT INCORPORE DE RDATA RRSIG ............................................................................................................. 5
3.1.1 CHAMP TYPE COUVERT ................................................................................................................................. 5
3.1.2 CHAMP NUMERO D'ALGORITHME ............................................................................................................... 5
3.1.3 CHAMP ÉTIQUETTES ....................................................................................................................................... 5
3.1.4 CHAMP TTL D'ORIGINE ................................................................................................................................... 6
3.1.5 CHAMPS EXPIRATION DE SIGNATURE ET DEBUT DE SIGNATURE ..................................................... 6
3.1.6 CHAMP ÉTIQUETTE DE CLE .......................................................................................................................... 6
3.1.7 CHAMP NOM DU SIGNATAIRE ...................................................................................................................... 6
3.1.8 CHAMP SIGNATURE ........................................................................................................................................ 6
3.2 FORMAT DE PRESENTATION DE RR RRSIG ........................................................................................................ 7
3.3 EXEMPLE DE RR RRSIG ........................................................................................................................................... 7
4. ENREGISTREMENT DE RESSOURCE NSEC ................................................................................................................. 8
4.1 FORMAT INCORPORE DE RDATA NSEC .............................................................................................................. 8
4.1.1 CHAMP NOM DU PROCHAIN DOMAINE ...................................................................................................... 8
4.1.2 CHAMP TYPE DE CORRESPONDANCE BINAIRE ....................................................................................... 9
RFC 4034 page - - Arends & autres
4.1.3 INCLUSION DE NOM A CARACTERE GENERIQUE DANS UN RDATA NSEC ....................................... 9
4.2 FORMAT DE PRESENTATION DE RR NSEC ......................................................................................................... 9
4.3 EXEMPLE DE RR NSEC .......................................................................................................................................... 10
5. ENREGISTREMENT DE RESSOURCE DS .................................................................................................................... 10
5.1 FORMAT INCORPORE DE RDATA DS ................................................................................................................. 10
5.1.1 CHAMP ÉTIQUETTE DE CLE ........................................................................................................................ 11
5.1.2 CHAMP ALGORITHME................................................................................................................................... 11
5.1.3 CHAMP TYPE DE RESUME ........................................................................................................................... 11
5.1.4 CHAMP RESUME ............................................................................................................................................. 11
5.2 TRAITEMENT DES RR DS LORS DE LA VALIDATION DES REPONSES ........................................................ 11
5.3 FORMAT DE PRESENTATION DU RR DS ............................................................................................................ 11
5.4 EXEMPLE DE RR DS................................................................................................................................................ 12
6. FORMES CANONIQUES ET ORDRE DES ENREGISTREMENTS DE RESSOURCE ................................................ 12
6.1 ORDRE CANONIQUE DE NOM DU DNS .............................................................................................................. 12
6.2 FORME CANONIQUE DE RR .................................................................................................................................. 12
6.3 ORDRE CANONIQUE DES RR AU SEIN D'UN RRSET ....................................................................................... 13
7. CONSIDERATIONS RELATIVES A L'IANA ................................................................................................................. 13
8. CONSIDERATIONS POUR LA SECURITE .................................................................................................................... 14
9. REMERCIEMENTS ........................................................................................................................................................... 14
10. REFERENCES ................................................................................................................................................................. 14
10.1 REFERENCES NORMATIVES ............................................................................................................................... 14
10.2 REFERENCES POUR INFORMATION ................................................................................................................. 15
APPENDICE A. TYPES D'ALGORITHME ET DE RESUME DNSSEC ............................................................................ 15
A.1 TYPES D'ALGORITHME DNSSEC ........................................................................................................................ 15
A.1.1 TYPES D'ALGORITHME PRIVES ................................................................................................................. 16
A.2 TYPES DE RESUME DNSSEC ................................................................................................................................ 16
APPENDICE B. CALCUL D'ETIQUETTE DE CLE ............................................................................................................ 16
B.1 ÉTIQUETTE DE CLE POUR L'ALGORITHME 1 (RSA/MD5) .............................................................................. 17
DECLARATION COMPLETE DE DROITS DE REPRODUCTION .................................................................................. 18
_Toc231747996
1. Introduction
Les extensions de sécurité du DNS (DNSSEC) introduisent quatre nouveaux types d'enregistrement de ressource du DNS :
Clé publique DNS (DNSKEY), Signature d'enregistrement de ressource (RRSIG), Prochain enregistrement sûr (NSEC), et
signataire de délegation (DS). Le présent document définit l'objet de chaque enregistrement de ressource (RR), le format
RDATA du RR, et son format de présentation (représentation ASCII).
1.1 Fondements et documents en rapport
Le présent document fait partie d'une famille de documents qui définissent DNSSEC et devraient être lus comme un
ensemble.
La [RFC4033] contient une introduction à DNSSEC et les définition des termes communs ; le lecteur est supposé être
familiarisé avec ce document. La [RFC4033] contient assi une liste des autres documents mis à jour et rendus obsolètes
par cet ensemble de documents.
La [RFC4035] définit les opérations du protocole DNSSEC.
Le lecteur est aussi supposé s'être familiarisé avec les concepts de base du DNS décrits dans les [RFC1034], [RFC1035],
et les documents ultérieurs qui les mettent à jour, en particulier les [RFC2181] et [RFC2308].
Le présent document définit les enregistrements de ressource de DNSSEC. Tous les codes numériques de type DNS
donnés dans le présent document sont des entiers décimaux.
1.2 Mots réservés
Dans le présent document, les mots clés "DOIT", "NE DOIT PAS", "EXIGE", "DEVRA", "NE DEVRA PAS",
"DEVRAIT", "NE DEVRAIT PAS", "RECOMMANDE", "PEUT", et "FACULTATIF" sont à interpréter comme décrit
dans la [RFC2119].
RFC 4034 page - - Arends & autres
2. L'enregistrement de ressource DNSKEY
DNSSEC utilise la cryptographie à clé publique pour signer et authentifier les ensembles d'enregistrements de ressource du
DNS (RRset). Les clés publiques sont mémorisées dans les enregistrements de ressource DNSKEY et sont utilisés dans le
processus d'authentification DNSSEC décrit dans la [RFC4035] : une zone signe ses RRset d'autorité en utilisant une clé
privée et mémorise la clé publique correspondante dans un RR DNSKEY. Un résolveur peut alors utiliser la clé publique
pour valider les signatures couvrant les RRset dans la zone, et donc les authentifier.
Le RR DNSKEY n'est pas destiné à être un enregistrement pour mémoriser des clés publiques arbitraires et NE DOIT
PAS être utilisé pour mémoriser des certificats ou des clés publiques qui ne se rapportent pas directement à
l'infrastructure du DNS.
La valeur de Type pour le type de RR DNSKEY est 48.
Le RR DNSKEY RR est indépendant de la classe.
Le RR DNSKEY n'a pas d'exigence de TTL particulière.
2.1 Format réseau de RDATA DNSKEY
Le RDATA pour un RR DNSKEY consiste en un champ Fanions de 2 octets, un champ Protocole de 1 octet, un champ
Algorithme de 1 octet, et le champ Clé publique.
1
2
3
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
Fanions
/
Clé publique
/
2.1.1 Le champ Fanions
Le bit 7 du champ Fanions est le fanion de clé de zone. Si le bit 7 a la valeur 1, l'enregistrement DNSKEY détient alors une
clé de zone DNS, et le nom du propriétaire du RR DNSKEY DOIT être le nom d'une zone. Si le bit 7 a la valeur 0,
l'enregistrement DNSKEY détient un autre type de clé publique DNS et NE DOIT PAS être utilisé pour vérifier les RRSIG
qui couvrent les RRset.
Le bit 15 du champ Fanions est le fanion de point d'entrée sécurisé, décrit dans la [RFC3757]. Si le bit 15 a la valeur 1,
l'enregistrement DNSKEY détient une clé destinée à être utilisée comme point d'entrée sécurisé. Ce fanion est
seulement destiné à être une indication pour le logiciel de signature de zone ou de débogage de l'usage de destination de
cet enregistrement DNSKEY ; les valideurs NE DOIVENT en aucune façon altérer leur comportement durant le processus
de validation de signature quant au réglage de ce bit. Cela signifie aussi qu'un RR DNSKEY avec le bit SEP établi aura
aussi besoin que le fanion Clé de zone soit établi afin d'être capable de générer les signatures en toute légalité. Un RR
DNSKEY avec le bit SEP mis et le fanion Clé de zone non mis NE DOIT PAS être ustilisé pour vérifier les RRSIG qui
couvrent les RRset.
Les bits 0-6 et 8-14 sont réservés : ces bits DOIVENT avoir une valeur de 0 à la création du RR DNSKEY et DOIVENT
être ignorés à réception.
2.1.2 Le champ Protocole
Le champ Protocole DOIT avoir la valeur 3, et le RR DNSKEY DOIT être traité comme invalide durant la vérification de
signature si il est trouvé avec une valeur autre que 3.
2.1.3 Le champ Algorithme
Le champ Algorithme identifie l'algorithme cryptographique de la clé publique et détermine le format du champ Clé
RFC 4034 page - - Arends & autres
publique. Une liste des types d'algorithmes DNSSEC se trouve dans l'appendice A.1
2.1.4 Le champ Clé publique
Le champ Clé publique détient le matériel de clé publique. Le format dépend de l'algorithme de la clé qui est mémorisée et
il est décrit dans des documents différents.
2.1.5 Notes sur la conception du RDATA de DNSKEY
Bien que le champ Protocole ait toujours la valeur 3, il est conservé pour la rétro-compatibilité avec les versions antérieures
de l'enregistrement CLÉ.
2.2 Format de présentation du RR DNSKEY
Le format de présentation de la portion RDATA est le suivant :
Le champ Fanion DOIT être représenté comme entier décimal non signé. Étant donnés les fanions actuellement définis, les
valeurs possibles sont : 0, 256, et 257.
Le champ Protocole DOIT être représenté comme entier décimal non signé d'une valeur de 3.
Le champ Algorithme DOIT être représenté soit comme un entier décimal non signé soit comme un mnémonique
d'algorithme comme spécifié à l'Appendice A.1.
Le champ Clé publique DOIT être comme un codage en Base64 de la clé publique. Les espaces blanches sont admises
dans le texte en Base64. Voir la définition du codage Base64 dans la [RFC3548].
2.3 Exemple de RR DNSKEY
Le RR DNSKEY suivant mémorise une clé de zone DNS pour "example.com." :
example.com. 86400 IN DNSKEY 256 3 5 (
AQPSKmynfzW4kyBv015MUG2DeIQ3Cbl+BBZH4b/0PY1kxkmvHjcZc8nokfzj31GajIQKY+5CptLr3buXA10h
WqTkF7H6RfoRqXQeogmMHfpftf6zMv1LyBUgia7za6ZEzOJBOztyvhjL742iU/TpPSEDhm2SNKLijfUppn1UaN
vv4w== )
Les quatre premiers champs de texte spécifient le nom du propriétaire, le TTL, la classe, et le type de RR (DNSKEY). La
valeur 256 indique que le bit de clé de zone (bit 7) dans le champ Fanions a la valeur 1. La valeur 3 est la valeur fixée du
protocole. La valeur 5 indique l'algorithme de clé publique. L'appendice A.1 identifie l'algorithme de type 5 comme
RSA/SHA1 et indique que le format du champ de clé publique RSA/SHA1 est défini dans la [RFC3110]. Le reste du texte
est un codage Base64 de la clé publique.
3. Enregistrement de ressource RRSIG
DNSSEC utilise la cryptographie de clé publique pour signer et authentifier les ensembles d'enregistrements de ressource
(RRset, resource record set) du DNS. Les signatures numériques sont mémorisées dans les enregistrements de ressource
RRSIG et sont utilisées dans le processus d'authentification de DNSSEC décrit dans la [RFC4035]. Un valideur peut
utiliser ces RR RRSIG pour authentifier les RRset de la zone. Le RR RRSIG ne DOIT être utilisé que pour porter le
matériel de vérification (signatures numériques) utilisé pour sécuriser les opérations du DNS.
Un enregistrement RRSIG contient la signature pour un RRset avec un nom, une classe et un type particuliers. Le RR
RRSIG spécifie un intervalle de validité pour la signature et utilise l'algorithme, le nom du signataire et l'étiquette de clé
pour identifier le RR DNSKEY qui contient la clé publique que peut utiliser un valideur pour vérifier la signature.
Parce que chaque RRset d'autorité dans une zone doit être protégé par une signature numérique, les RR RRSIG doivent
être présents pour les noms qui contiennent un RR CNAME. Ceci est un changement par rapport à la spécification
traditionnelle du DNS [RFC1034], qui déclarait que si un CNAME est présent pour un nom, il est le seul type admis à ce
RFC 4034 page - - Arends & autres
nom. Un RRSIG et un NSEC (voir la Section 4) DOIVENT exister pour le même nom qu'un enregistrement de ressource
CNAME dans une zone signée.
La valeur de Type pour le type de RR RRSIG est 46.
Le RR RRSIG est indépendant de la classe.
Un RR RRSIG DOIT avoir la même classe que le RRset qu'il couvre.
La valeur de TTL d'un RR RRSIG DOIT correspondre à la valeur de TTL du RRset qu'il couvre. C'est une exception aux
règles de la [RFC2181] pour les valeurs de TTL des RR individuels au sein d'un RRset : les RR RRSIG individuels avec le
même nom de propriétaire auront des valeurs de TTL différentes si les RRset qu'ils couvrent ont des valeurs de TTL
différentes.
3.1 Format incorporé de RDATA RRSIG
Le RDATA pour un RRSIG consiste en un champ Type couvert de deux octets, un champ Algorithme de un octet, un
champ Étiquette de un octet, un champ TTL d'origine de quatre octets, un champ Expiration de signature de quatre octets,
un champ Début de signature de quatre octets, un étiquette de clé de deux octets, le champ Nom du signataire, et le champ
Signature.
1
2
3
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
Type couvert
TTL d'origine
Expiration de signature
Début de signature
Étiquette de clé
/
Signature /
3.1.1 Champ Type couvert
Le champ Type couvert identifie le type du RRset qui est couvert par cet enregistrement RRSIG.
3.1.2 Champ Numéro d'algorithme
Le champ Numéro d'algorithme identifie l'algorithme cryptographique utilisé pour créer la signature. Une liste des types
d'algorithmes DNSSEC se trouve dans l'Appendice A.1
3.1.3 Champ Étiquettes
Le champ Étiquettes spécifie le nombre d'étiquettes dans le RR RRSIG d'origine du nom du propriétaire. La signification
de ce champ est qu'un valideur l'utilise pour déterminer si la réponse a été synthétisée à partir d'un caractère générique. Si
c'est le cas, il peut être utilisé pour déterminer quel nom de propriétaire a été utilisé pour générer la signature.
Pour valider une signature, le valideur a besoin du nom du propriétaire d'origine qui a été utilisé pour créer la signature.
Si le nom du propriétaire d'origine contient une étiquette de caractère générique ("*"), le nom du propriétaire peut avoir
été étendu par le serveur durant le processus de réponse, auquel cas le valideur devra reconstruire le nom du propriétaire
d'origine afin de valider la signature. La [RFC4035] décrit comment utiliser le champ Étiquettes pour reconstruire le nom
de propriétaire d'origine.
La valeur du champ Étiquettes NE DOIT PAS compter l'étiquette nulle (racine) qui termine le nom de propriétaire ou
l'étiquette de caractère générique (si elle est présente). La valeur du champ Étiquette DOIT être inféieure ou égale au
nombre d'étiquettes contenues dans le nom du propriétaire du RRSIG. Par exemple, "www.example.com." a une valeur de
champ Étiquettes de 3, et "*.example.com." a une valeur de champ Étiquettes de 2. Racine (".") a une valeur de champ
Étiquettes de 0.
6
7
8
9
10
11
12
13
14
15
16
17
18
1
/
18
100%
