概要
マルチサイナーDNSSECは、DNSSEC検証に必要な信頼の連鎖を調査し、それを活用して、複数のプロバイダーが関与している場合でも検証が完了することを保証します。
検証が問題となる例としては、リゾルバーが1つのプロバイダーからのDNSKEYレコードセット ↗をキャッシュしているが、別のプロバイダーによって署名された応答を受け取る場合があります。
その場合の問題を避けるために、マルチサイナーDNSSECを設定する際には、次のことを調整します:
- DNSプロバイダーがDNSKEYレコードセットに持っているゾーン署名鍵(ZSK)。
- セキュアエントリーポイント(SEP)、鍵署名鍵(KSK)、および委任署名者(DS)レコードの責任者。
これらの設定が、(a) 関与するすべてのプロバイダーが互いの公開ゾーン署名鍵(ZSK)を持ち、(b) 委任署名者(DS)レコードが必要な鍵署名鍵(KSK)を参照するように調整されると、複数のプロバイダーによるゾーンのライブ署名は問題ではなくなります。
両方のモデルでは、すべてのプロバイダーが互いのゾーン署名鍵(ZSK)をDNSKEYレコードセットに追加していますが、モデル1では、1つの鍵署名鍵(KSK)のみがそのようなDNSKEYレコードセットを署名するために使用されます。このKSKの管理とDSレコード(すなわち、セキュアエントリーポイント)による参照は、ゾーンオーナーまたはゾーンオーナーによって指定された1つのプロバイダーの責任です。
一方、モデル2では、各プロバイダーが自分のKSKを使用して自分のDNSKEYレコードセットに署名し、これらのKSKはDSレコード(セキュアエントリーポイント)によって参照されます。