DNSSEC/RFC4034について、ここに記述してください。
http://tools.ietf.org/html/rfc4034
- Resource Records for the DNS Security Extensions
日本語訳: http://jprs.jp/tech/material/rfc/RFC4034-ja.txt
- 訳は読まないことを勧める。返って混乱する。
1. NSEC RR
http://tools.ietf.org/html/rfc4034#section-4
4. The NSEC Resource Record
The NSEC resource record lists two separate things:
the next owner name (in the canonical ordering of the zone) that contains
authoritative data or a delegation point NS RRset,
and the set of RR types present at the NSEC RR's owner name [RFC3845].
The complete set of NSEC RRs in a zone indicates
which authoritative RRsets exist in a zone
and also form a chain of authoritative owner names in the zone.
This information is used to provide authenticated denial of
existence for DNS data, as described in [RFC4035].NSECリソースレコードは2つの独立した情報を提示する。 1つめはNSEC RRの所有者名の(ゾーンの正規順序で)次に来る所有者名で、権威を持つデータ または委任点のNS RRsetを持つものである。2つめはNSRC RRの所有者名に 関連づけられるRRタイプの集合である [RFC3845]。
[注意:この日本語は意味が通じない。英文を参照すること。]
ゾーン内のNSEC RRの完全な集合は、ゾーン内に存在する権威を持つRRsetが どれかを示すと同時に、ゾーン内の権威を持つ所有者名の連鎖を形成する。 この情報を使用して[RFC4035]が規定するDNSデータの不在証明を行う。
Owner names of RRsets for which the given zone is not authoritative (such as glue records) MUST NOT be listed in the Next Domain Name unless at least one authoritative RRset exists at the same owner name.
委任点にあるNSEC RRのビットマップについては特別な注意が必要である。 委任を行っているNS RRsetと、親ゾーン側が権威を持つデータのRRタイプに ついては、対応するビットを設定しなければならない(MUST)。 一方でNS RRset以外で親ゾーンが権威を持たないRRタイプに相当する ビットはクリアしなければならない(MUST)。 グルーレコードしか保持しないドメイン名に対し、NSEC RRを設定しては ならない(MUST NOT)。
[注: NSレコードの存在、非存在はNSECで分かる。]