标题 说明 补充说明 支持级别
1   介绍 1、定义DNSSEC协议修改点
2、定义以下概念:已签名域(signed zone)和域签名的要求列表
3、描述权威域名服务器为了处理签名域的行为变化
4、描述了包括解析器在内的实体的行为
5、描述了怎样使用DNSSEC RRs去认证一个应答		   NA
2   域签名 介绍五种资源记录类型和签名域概念
1、DNSKEY
2、RRSIG
3、NSEC
4、DS
5、CNAME		 需要结合rfc4034一起看  
2.1 包含DNSKEY的域      
2.2 包含RRSIG的域      
2.3 包含NSEC的域      
2.4 包含DS的域      
2.5 CNAME资源记录的变化      
2.6 出现在域分片的DNSSEC类型      
3   命名服务器功能      
4   解析器功能      
4.1 支持EDNS 1、解析器发送查询报文时,消息头必须支持DO比特位。   MUST
2、解析器必须支持最少1220字节的消息。(以前为512字节)   MUST
3、解析器支持应该支持4000字节的消息。   SHOULD
4、解析器的IP层必须能处理UDP分片报文。   MUST
4.2 支持签名认证 1、解析器必须支持签名认证。   MUST
2、解析器应该对每一个收到的应答应用第五章描述的签名认证机制。除了以下情况:
(1)解析器是递归命名服务器的一部分
(2)应答结果告知解析器不要让这个查询结果有效或者这个查询的有效性受限于本地策略。		   SHOULD
3、解析器支持的签名认证必须包括通配符主机名认证。   MUST
4、解析器可以尝试让非安全记录生效,但是要声明这个接收到的应答不充分可靠。   MAY
5、尝试检索丢失的NSEC时,必须向服务器查找父域而不是子域。 定位父域NS(权威服务器) RRset算法:从授权名开始,每次用最左边的名字去查找,遍历树结构,直到找到NS或者遍历完整棵树,过程结束。 MUST
6、尝试检索丢失的DS时,必须向服务器查找父域而不是子域。 MUST
4.3 辨识数据的安全状态 必须能够辨识四种场景   MUST
1、secure场景:解析器能通过信任锚构建一个DNSKEY和DS的信任链。
处理:RRset应该被签名并受限于签名有效性。		   MUST
2、Insecure场景:通过已配置的任一信任锚都无法对资源记录构建成DNSKEY和DS的信任链。
处理:RRset是否有签名都可以,但是解析器不能认证签名。		   MUST
3、Bogus场景:解析器认为可以构建信任链,而实际构建不了(可能是某些原因导致签名失效或相关DNS安全RR数据丢失)。
处理:可能意味着遇到DNS攻击,也可能是配置错误或数据冲突。		   MUST
4、Indeterminate场景:无法判断RRset是否应该签名(无法获得必要的DNSSEC RRs)。
处理:这种情况发生于解析器找不到识别相关域的安全服务器。		   MUST
4.4 配置信任锚 1、解析器必须能配置至少一个信任锚(DNSKEY或DS)。   MUST
2、解析器应该支持配置多个信任锚。   SHOULD
3、若没有配置信任锚,不应该使签名有效。   SHOULD
4、解析器应该有合理机制在它启动时获得信任锚。 可以从很多公开的网站下载这些可信域的DNSKEY文件,包括:
(1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月布署实施。如果DNSSEC全部布署成功,这一个公开密钥就足够了。
(2)The UCLA secspider : https://secspider.cs.ucla.edu,由美国加州大学洛杉矶分校(UCLA)张丽霞教授的实验室维护。
(3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php		 SHOULD
4.5 应答缓存 1、解析器应当能够缓存完整应答,包括命名记录和任意DNSSEC相关的资源记录。   SHOULD
2、解析器应该在记录有效期满后丢弃缓存记录。   SHOULD
4.6 处理CD、AD比特位 1、解析器可以在查询报文中设置CD比特位。 CD比特位有效意味着收到的相应应答中无论认证的本地策略是什么,解析器都愿意负责。 MAY
2、解析器必须在封装查询报文时清空AD比特位,以防止那些不理解查询消息的服务器盲目拷贝消息头。   MUST
3、解析器如果不是安全环境下,必须忽视应答报文中的CD和AD比特位;或者解析器指定配置要求在非安全环境下仍要关注消息头比特位。   MUST
4.7 缓存错误数据 为了预防不必要的DNS阻塞,解析器可以限制性的缓存无效签名。   MAY
解析器不可以从错误数据缓存中返回资源记录,除非解析器不要求使签名生效。   MUST
4.8 综合的CNAME记录 解析器必须要支持处理已签名的CNAME记录。   MUST
4.9 末梢解析器   NA

RFC4035笔记的更多相关文章

  1. git-简单流程(学习笔记)

    这是阅读廖雪峰的官方网站的笔记,用于自己以后回看 1.进入项目文件夹 初始化一个Git仓库,使用git init命令. 添加文件到Git仓库,分两步: 第一步,使用命令git add <file ...

  2. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  3. SQL Server技术内幕笔记合集

    SQL Server技术内幕笔记合集 发这一篇文章主要是方便大家找到我的笔记入口,方便大家o(∩_∩)o Microsoft SQL Server 6.5 技术内幕 笔记http://www.cnbl ...

  4. PHP-自定义模板-学习笔记

    1.  开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2.  整体架构图 ...

  5. PHP-会员登录与注册例子解析-学习笔记

    1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...

  6. NET Core-学习笔记(三)

    这里将要和大家分享的是学习总结第三篇:首先感慨一下这周跟随netcore官网学习是遇到的一些问题: a.官网的英文版教程使用的部分nuget包和我当时安装的最新包版本不一致,所以没法按照教材上给出的列 ...

  7. springMVC学习笔记--知识点总结1

    以下是学习springmvc框架时的笔记整理: 结果跳转方式 1.设置ModelAndView,根据view的名称,和视图渲染器跳转到指定的页面. 比如jsp的视图渲染器是如下配置的: <!-- ...

  8. 读书笔记汇总 - SQL必知必会(第4版)

    本系列记录并分享学习SQL的过程,主要内容为SQL的基础概念及练习过程. 书目信息 中文名:<SQL必知必会(第4版)> 英文名:<Sams Teach Yourself SQL i ...

  9. 2014年暑假c#学习笔记目录

    2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...

随机推荐

  1. Linq表达式、Lambda表达式你更喜欢哪个?

    什么是Linq表达式?什么是Lambda表达式? 如图: 由此可见Linq表达式和Lambda表达式并没有什么可比性. 那与Lambda表达式相关的整条语句称作什么呢?在微软并没有给出官方的命名,在& ...

  2. HTML5 Boilerplate - 让页面有个好的开始

    最近看到了HTML5 Boilerplate模版,系统的学习与了解了一下.在各种CSS库.JS框架层出不穷的今天,能看到这么好的HTML模版,感觉甚爽.写篇博客,推荐给大家使用.   一:HTML5 ...

  3. JavaScript 对象属性介绍

    本篇主要介绍JS中对象的属性,包括:属性的分类.访问方式.检测属性.遍历属性以及属性特性等内容. 目录 1. 介绍:描述属性的命名方式.查找路径以及分类 2. 属性的访问方式:介绍'.'访问方式.'[ ...

  4. SDWebImage源码解读 之 NSData+ImageContentType

    第一篇 前言 从今天开始,我将开启一段源码解读的旅途了.在这里先暂时不透露具体解读的源码到底是哪些?因为也可能随着解读的进行会更改计划.但能够肯定的是,这一系列之中肯定会有Swift版本的代码. 说说 ...

  5. java单向加密算法小结(1)--Base64算法

    从这一篇起整理一下常见的加密算法以及在java中使用的demo,首先从最简单的开始. 简单了解 Base64严格来说并不是一种加密算法,而是一种编码/解码的实现方式. 我们都知道,数据在计算机网络之间 ...

  6. Android Studio —— 创建Menu菜单项

    大多数android程序的右上角都会设置一个菜单按钮比如微信的界面右上角的加号. 这个需要在layout同级目录下新建文件夹命名为menu,再右击新建的menu新建xml文件:

  7. 如何编译Zookeeper源码

    1. 安装Ant Ant下载地址:http://ant.apache.org/bindownload.cgi 解压即可. 2. 下载Zookeeper源码包 https://github.com/ap ...

  8. Linux网络属性配置

    目录 IP地址分类 如何将Linux主机接入到网络中 网络接口的命名方式 ifcfg系列命令 如何配置主机名 如何配置DNS服务器指向 iproute2系列命令 Linux管理网络服务 永久生效配置路 ...

  9. windows 2012 r2 can't find kb2919355

    问题   解决: 1.手动安装了 Windows8.1-KB2919442-x64 2.手动下载 KB2919355 更新成功     Turns out to have been a result ...

  10. NOIP模板整理计划

    先占个坑 [update]noip结束了,弃了 一.图论 1.单源最短路 洛谷P3371 (1)spfa 已加SLF优化 #include <iostream> #include < ...