DNSSEC非対応キャッシュサーバを通した改竄の検証とBINDの挙動dnssec-enable no;でのBINDの挙動についてメモを兼ねて。 DNSSECではRRSIGリソースレコードに ・署名対象の名前 ・署名対象のリソースタイプ・クラス ・署名対象のオリジナルの(コンテンツサーバでの)TTL ・RRSIG自体の有効期間、鍵のハッシュなど を載せ、電子署名で保護している。 RRレコードと、対応するRRSIGレコードを受け取る事ができ、対応する公開鍵を信頼しているならば、 「現在時刻と照らしあわせてRRSIGレコードが有効期間内である事」を確認し、さらに、「Aレコードの元々のTTLがRRSIGの主張するオリジナルTTLだったと仮定して、現在時刻と照らしあわせて署名に矛盾がない」ことを確認することで、改竄されていないことが証明できる。 (公開鍵はルートから権威の木構造で証明するが署名原理は同じなので割愛。NSECも割愛) キャッシュサーバから受け取るRRS
