Resultaten

Nieuwe versie SIDN NSEC3 white paper beschikbaar

  • Door: Miek Gieben
  • 16 januari 2012 - 11:55 uur

Na de publicatie van het SIDN NSEC3 white paper, hebben we van een aantal mensen feedback ontvangen. De meest constructieve feedback kwam van Karst Koymans van de Universiteit van Amsterdam. Na aanleiding van deze, en andere feedback publiceren we een versie 2 van het white paper.[meer...]

Deze versie heeft de volgende wijzigingen ten opzichte van versie 1: 

  • Een aantal correcties;
  • Het NSEC3-voorbeeld retourneert nu drie NSEC3 records in plaats van twee;
  • Een tweetal illustraties is toegevoegd;
  • 'Empty non-terminals' worden kort uitgelegd.

De versie 2 kun je hier dowloaden. 

Tags
meer

NSEC4

  • Door: Miek Gieben
  • 09 januari 2012 - 08:20 uur

Door het schrijven van het NSEC3 whitepaper, krijgen we natuurlijk een goed begrip van hoe "authenticated denial of existence" nu eigenlijk werkt in DNSSEC. Hierbij kwamen vragen naar boven zoals:

  • Is NSEC3 wel de meeste efficiënte manier om (hashed) authenticated denial of existence te doen?
  • Kun je niet een en ander optimaliseren met betrekking tot de wildcards;
  • Kan Opt-Out niet ook voor un-hashed (NSEC dus eigenlijk) gebruikt worden.

[meer...]

Het beantwoorden van deze vragen leidde tot de geboorte van NSEC4, die is beschreven in deze draft:

http://www.ietf.org/id/draft-gieben-nsec4-00.txt 

Dit is een eerste versie (een -00 zoals dat bij de IETF heet), er zal zeker nog een -01 en misschien wel een -02 van komen.

In NSEC4:

  • Wordt de wildcard NSEC3 wegbezuinigd en vervangen door een enkel bitje. Dit verkleint de negatieve antwoorden met gemiddeld 1 NSEC3 record (+signatures).
  • Wordt zero-hashing geïntroduceerd, oftewel helemaal geen hashing, waardoor er effectief sprake is van NSEC met Opt-Out (wat de NSEC specificatie nu ontbeert);
  • Unificeert dus eigenlijk NSEC and NSEC3 tot een nieuwe record: NSEC4.

Het is niet bedoeling dit te standaardiseren, vooralsnog mikken we op de 'experimental' track. Daarmee blijft dit document wel bewaard, maar niemand wordt gedwongen het te implementeren. Het is wel belangrijke documentatie.

Van het NSEC3-whitepaper, waarover we eerder schreven, volgt binnenkort ook een versie 2, die wat zaken verduidelijkt en nog net wat vollediger is.

Tags
meer

NSEC3 whitepaper

  • Door: Miek Gieben
  • 09 november 2011 - 15:03 uur

In beginsel is DNSSEC niet heel ingewikkeld, maar sommige onderdelen van de specificatie kunnen toch wel intimiderend zijn. Een zo'n onderdeel is "Authenticated denial of existence" in goed Nederlands. Dit behelst, kort gezegd, het met zekerheid communiceren dat een domein niet bestaat in DNSSEC.[meer...]

In de DNSSEC-specificatie worden hiervoor twee records (en dus eigenlijk twee manieren) voor gebruikt, namelijk:

  • het NSEC record en;
  • het NSEC3 record.

In dit (Engelstalige) 'whitepaper' leggen we uit hoe NSEC en NSEC3 in elkaar steken en wat de verschillen zijn tussen beiden oplossingen. Ook wordt stil gestaan bij de evolutie van NSEC (die was er namelijk eerst) naar NSEC3.

Het whitepaper is bedoeld voor mensen die al enige bekendheid hebben met DNS/DNSSEC.

Tags
meer