DNSSec NSEC3には、レジストラ、DNSサーバー、またはその両方からのサポートが必要ですか？

DNSSECでは、ルートネームサーバーと中間ネームサーバーの役割は、ゾーンの信頼できるネームサーバーに到達するまで信頼のチェーンを提供することです。署名されたゾーンに関連付けられた公開DSキーをホストすることを除いて、NSEC3検証では役割を果たしません。

NSEC3が機能するには、機能のサポートを義務付けるアルゴリズムを使用してゾーンに署名する必要があります。古いアルゴリズムは、-NSEC3-識別子を含むバリアントを介してサポートされます。この方法でサポートがアドバタイズされない限り、リゾルバーは新しい機能の利用を試みません。ゾーンが正しく署名されている場合は、委任チェーンの直前にDSキーダイジェストをネームサーバーに公開するための通常の手順に従うだけです。

から RFC5155 ：

展開を支援するために、この仕様ではシグナリング手法を使用して、NSEC3を認識しないリゾルバーがNSEC3署名ゾーンからの応答を検証しようとするのを防ぎます。

この仕様では、この目的のために2つの新しいDNSKEYアルゴリズム識別子を割り当てます。アルゴリズム6、DSA-NSEC3-SHA1は、アルゴリズム3、DSAのエイリアスです。アルゴリズム7、RSASHA1-NSEC3-SHA1は、アルゴリズム5、RSASHA1のエイリアスです。これらは新しいアルゴリズムではなく、既存のアルゴリズムの追加の識別子です。

この仕様に従って署名されたゾーンは、DNSKEYRRにこれらのアルゴリズム識別子のみを使用する必要があります。これらの新しい識別子は、既存のNSEC3を認識しないリゾルバにとって未知のアルゴリズムであるため、[RFC4035]のセクション5.2で詳しく説明されているように、これらのリゾルバはNSEC3署名付きゾーンからの応答を安全でないものとして扱います。

レジストラで、ゾーンの委任に必要な有効なDSレコードを追加できる限り、レジストラは要因になりません。

レジストラが問題を引き起こす可能性のあるいくつかのことは次のとおりです。

• DSレコードを追加できない場合は、署名された委任をまったく持つことができません（潜在的な回避策としてDLVを使用）。特にNSEC3の問題ではなく、DNSSEC全般の問題です

• DSレコードの値（具体的にはアルゴリズムフィールド）に制限を課している場合は、NSEC3より前のアルゴリズムを使用する必要があります。

アルゴリズムの制限は私が遭遇したものではありませんが、少なくとも理論的には、誰かが古い検証コードなどを配置している可能性があります。