NSEC4
- Door: Miek Gieben
- 09 januari 2012 - 08:20 uur
Door het schrijven van het NSEC3 whitepaper, krijgen we natuurlijk een goed begrip van hoe "authenticated denial of existence" nu eigenlijk werkt in DNSSEC. Hierbij kwamen vragen naar boven zoals:
- Is NSEC3 wel de meeste efficiënte manier om (hashed) authenticated denial of existence te doen?
- Kun je niet een en ander optimaliseren met betrekking tot de wildcards;
- Kan Opt-Out niet ook voor un-hashed (NSEC dus eigenlijk) gebruikt worden.
Het beantwoorden van deze vragen leidde tot de geboorte van NSEC4, die is beschreven in deze draft:
http://www.ietf.org/id/draft-gieben-nsec4-00.txt
Dit is een eerste versie (een -00 zoals dat bij de IETF heet), er zal zeker nog een -01 en misschien wel een -02 van komen.
In NSEC4:
- Wordt de wildcard NSEC3 wegbezuinigd en vervangen door een enkel bitje. Dit verkleint de negatieve antwoorden met gemiddeld 1 NSEC3 record (+signatures).
- Wordt zero-hashing geïntroduceerd, oftewel helemaal geen hashing, waardoor er effectief sprake is van NSEC met Opt-Out (wat de NSEC specificatie nu ontbeert);
- Unificeert dus eigenlijk NSEC and NSEC3 tot een nieuwe record: NSEC4.
Het is niet bedoeling dit te standaardiseren, vooralsnog mikken we op de 'experimental' track. Daarmee blijft dit document wel bewaard, maar niemand wordt gedwongen het te implementeren. Het is wel belangrijke documentatie.
Van het NSEC3-whitepaper, waarover we eerder schreven, volgt binnenkort ook een versie 2, die wat zaken verduidelijkt en nog net wat vollediger is.
Reacties