NSEC3レコードは、すべての委任用、または安全な委任用の2つの異なる方法のいずれかで作成できます。オプトアウトフラグは、使用されているメソッドを示します。フラグの理由は、主に委任(つまり、TLD)で構成される非常に大きなゾーンが、すべての委任に対してNSEC3レコードとそれに対応するRRSIGレコードを生成する必要がないようにするためです。これは、最大1億の委任を持つ.comのようなTLDにとって重要です。すべての委任に署名すると、非常に大規模なゾーンファイルが作成されます。
オプトアウトビットが設定されているかどうかにかかわらず、セキュアな委任に違いはありません。
オプトアウトビットが設定されていない安全でない委任の場合、委任NSレコードに加えて、その委任のNSEC3とRRSIGを取得します。これは安全でない委任であるhouse.govの例です(オプトアウトビットを使用しない.govゾーンにDSレコードが提供されます):
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9019
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 3
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;www.house.gov. IN A
;; AUTHORITY SECTION:
house.gov. 86400 IN NS chyron.house.gov.
house.gov. 86400 IN NS mercury.house.gov.
56j5jp60kq681hl5vtv287p7s16spmcp.gov. 86400 IN NSEC3 1 0 8 4C44934802D3 56K48N2V1IV9H7F4HJ05N62QI9C29JV2 NS
56j5jp60kq681hl5vtv287p7s16spmcp.gov. 86400 IN RRSIG NSEC3 7 2 86400 20120516040019 20120511040019 35464 gov. OlOx3rG7ShAptVt1XTqcXLOtInxEqyfg1b6+vBlWiqSBZ8pkfk/IOFOm 49lbKkrjY2ibw98GaMdjUYCUUDKOX+eTe+HTfxginIfJ3FWOxB+TPFn1 /UEu4QAgEkWdgpT6NbCge9vWnhSxTCYNxTolVuhWq+sp59zodbAMERVi rIdFyoNpX1zijU1tjm9j8a+jFeN7tjf2fgzJQPpk/qNMgmgfp2GerPUX 5kVkhjoXPgRkLmy2W5PwbgWP4zOTRFuLxz0PsRfoqLUHYYEXPMQ0jimW ESl1LDRnHjdQDTD1qYPBCiVNxufaewZMGhTwP901CH3FLr6Gku7ptYkD 5ukEFQ==
4C44934802D3のソルトと8回の追加の反復を指定して、NSEC3ハッシュを計算すると、すべての委任に対してNSEC3レコードが生成されるため、完全に一致します。
$ nsec3.py -i 8 -s 4C44934802D3 house.gov
56J5JP60KQ681HL5VTV287P7S16SPMCP house.gov
オプトアウトビットが設定された安全でない委任の場合、そのドメインで使用可能なリソースレコードタイプのリストを提供するNSEC3レコードを取得しません。代わりに、セクション RFC 5155の7.2.1 で説明されているように、「最も近いエンクロージャー証明」を取得します。
この例は、オプトアウトフラグを使用する.comゾーン内の安全でない委任です。
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48336
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 9, ADDITIONAL: 6
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;www.yahoo.com. IN A
;; AUTHORITY SECTION:
yahoo.com. 172800 IN NS ns1.yahoo.com.
yahoo.com. 172800 IN NS ns5.yahoo.com.
yahoo.com. 172800 IN NS ns2.yahoo.com.
yahoo.com. 172800 IN NS ns3.yahoo.com.
yahoo.com. 172800 IN NS ns4.yahoo.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0RFQAOES8CTVNVNH4G6Q85NOQAQ8I9 NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20120515041703 20120508030703 23339 com. RiL6MRN/fPVBjpyANDKurwSgdwgkdsRdB4ADWK7YTJeY2KNnBpjOX+FT +2a/XZR2ylP+G47L8k+DrJCHuAkr1wOYcOj7goiqErDwu+Cm5HZosAL2 EyRqNOHHgTDXlG6PGgyEe2DO0jWgmkyYX7+o0jpYP0m6QNDaRuf166np nkA=
GP1945PGQIOH4O61BM3RUL2EVN04SPIA.com. 86400 IN NSEC3 1 1 0 - GPLVOUV0V27L8DPOOBNLQU1VHFRMMPUT NS DS RRSIG
GP1945PGQIOH4O61BM3RUL2EVN04SPIA.com. 86400 IN RRSIG NSEC3 8 2 86400 20120518085726 20120511074726 23339 com. VmtH/BYw8H98FJM7YLxLIG0cfReERp5eNh3+bCu7EfWgSuWXn6OXdd4b rIMloxDXe9v/fdyd7RqwDiNLMPMhp8wRJOhKcqT0MczHFEUzy0SnXM3d SABY5d1AJr8YJNL+ZOgbiT445gn7HBET3OL+G5MfZPti+yhBnUvGlPYx UQ8=
最初のNSEC3レコードは、comドメイン自体のものです(RRタイプのリストにSOA、DNSKEY、およびNSEC3PARAMがあることを考えると、非常に簡単に見つけることができます。これは、最も近い証明可能なエンクロージャーです。
2番目のNSEC3レコードは、yahoo.comを「カバー」することです。これは、yahoo.comのNSEC3レコードが安全な委任ではないため、存在しないことを証明するためのものです。
比較のために計算されたハッシュは次のとおりです。
$ nsec3.py com yahoo.com
CK0POJMG874LJREF7EFN8430QVIT8BSM com
GPIOV963K81D6QM6IOTOUFUAPRDA6K3V yahoo.com
TLDゾーンまたは多数の委任がある他のゾーンを実行している場合を除き、オプトアウトフラグを使用する必要はありません。