contrib/bind9/doc/draft/draft-ietf-dnsext-dnssec-experiments-01.txt

   1
   2
   3
   4 DNSEXT                                                         D. Blacka
   5 Internet-Draft                                            Verisign, Inc.
   6 Expires: January 19, 2006                                  July 18, 2005
   7
   8
   9                            DNSSEC Experiments
  10                 draft-ietf-dnsext-dnssec-experiments-01
  11
  12 Status of this Memo
  13
  14    By submitting this Internet-Draft, each author represents that any
  15    applicable patent or other IPR claims of which he or she is aware
  16    have been or will be disclosed, and any of which he or she becomes
  17    aware will be disclosed, in accordance with Section 6 of BCP 79.
  18
  19    Internet-Drafts are working documents of the Internet Engineering
  20    Task Force (IETF), its areas, and its working groups.  Note that
  21    other groups may also distribute working documents as Internet-
  22    Drafts.
  23
  24    Internet-Drafts are draft documents valid for a maximum of six months
  25    and may be updated, replaced, or obsoleted by other documents at any
  26    time.  It is inappropriate to use Internet-Drafts as reference
  27    material or to cite them other than as "work in progress."
  28
  29    The list of current Internet-Drafts can be accessed at
  30    http://www.ietf.org/ietf/1id-abstracts.txt.
  31
  32    The list of Internet-Draft Shadow Directories can be accessed at
  33    http://www.ietf.org/shadow.html.
  34
  35    This Internet-Draft will expire on January 19, 2006.
  36
  37 Copyright Notice
  38
  39    Copyright (C) The Internet Society (2005).
  40
  41 Abstract
  42
  43    In the long history of the development of the DNS security extensions
  44    [1] (DNSSEC), a number of alternate methodologies and modifications
  45    have been proposed and rejected for practical, rather than strictly
  46    technical, reasons.  There is a desire to be able to experiment with
  47    these alternate methods in the public DNS.  This document describes a
  48    methodology for deploying alternate, non-backwards-compatible, DNSSEC
  49    methodologies in an experimental fashion without disrupting the
  50    deployment of standard DNSSEC.
  51
  52
  53
  54
  55 Blacka                  Expires January 19, 2006                [Page 1]
  56 \f
  57 Internet-Draft             DNSSEC Experiments                  July 2005
  58
  59
  60 Table of Contents
  61
  62    1.   Definitions and Terminology  . . . . . . . . . . . . . . . .   3
  63    2.   Overview . . . . . . . . . . . . . . . . . . . . . . . . . .   4
  64    3.   Experiments  . . . . . . . . . . . . . . . . . . . . . . . .   5
  65    4.   Method . . . . . . . . . . . . . . . . . . . . . . . . . . .   6
  66    5.   Defining an Experiment . . . . . . . . . . . . . . . . . . .   8
  67    6.   Considerations . . . . . . . . . . . . . . . . . . . . . . .   9
  68    7.   Transitions  . . . . . . . . . . . . . . . . . . . . . . . .  10
  69    8.   Security Considerations  . . . . . . . . . . . . . . . . . .  11
  70    9.   IANA Considerations  . . . . . . . . . . . . . . . . . . . .  12
  71    10.  References . . . . . . . . . . . . . . . . . . . . . . . . .  13
  72      10.1   Normative References . . . . . . . . . . . . . . . . . .  13
  73      10.2   Informative References . . . . . . . . . . . . . . . . .  13
  74         Author's Address . . . . . . . . . . . . . . . . . . . . . .  13
  75         Intellectual Property and Copyright Statements . . . . . . .  14
  76
  77
  78
  79
  80
  81
  82
  83
  84
  85
  86
  87
  88
  89
  90
  91
  92
  93
  94
  95
  96
  97
  98
  99
 100
 101
 102
 103
 104
 105
 106
 107
 108
 109
 110
 111 Blacka                  Expires January 19, 2006                [Page 2]
 112 \f
 113 Internet-Draft             DNSSEC Experiments                  July 2005
 114
 115
 116 1.  Definitions and Terminology
 117
 118    Throughout this document, familiarity with the DNS system (RFC 1035
 119    [4]) and the DNS security extensions ([1], [2], and [3].
 120
 121    The key words "MUST, "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
 122    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY, and "OPTIONAL" in this
 123    document are to be interpreted as described in RFC 2119 [5].
 124
 125
 126
 127
 128
 129
 130
 131
 132
 133
 134
 135
 136
 137
 138
 139
 140
 141
 142
 143
 144
 145
 146
 147
 148
 149
 150
 151
 152
 153
 154
 155
 156
 157
 158
 159
 160
 161
 162
 163
 164
 165
 166
 167 Blacka                  Expires January 19, 2006                [Page 3]
 168 \f
 169 Internet-Draft             DNSSEC Experiments                  July 2005
 170
 171
 172 2.  Overview
 173
 174    Historically, experimentation with DNSSEC alternatives has been a
 175    problematic endeavor.  There has typically been a desire to both
 176    introduce non-backwards-compatible changes to DNSSEC, and to try
 177    these changes on real zones in the public DNS.  This creates a
 178    problem when the change to DNSSEC would make all or part of the zone
 179    using those changes appear bogus (bad) or otherwise broken to
 180    existing DNSSEC-aware resolvers.
 181
 182    This document describes a standard methodology for setting up public
 183    DNSSEC experiments.  This methodology addresses the issue of co-
 184    existence with standard DNSSEC and DNS by using unknown algorithm
 185    identifiers to hide the experimental DNSSEC protocol modifications
 186    from standard DNSSEC-aware resolvers.
 187
 188
 189
 190
 191
 192
 193
 194
 195
 196
 197
 198
 199
 200
 201
 202
 203
 204
 205
 206
 207
 208
 209
 210
 211
 212
 213
 214
 215
 216
 217
 218
 219
 220
 221
 222
 223 Blacka                  Expires January 19, 2006                [Page 4]
 224 \f
 225 Internet-Draft             DNSSEC Experiments                  July 2005
 226
 227
 228 3.  Experiments
 229
 230    When discussing DNSSEC experiments, it is necessary to classify these
 231    experiments into two broad categories:
 232
 233    Backwards-Compatible: describes experimental changes that, while not
 234       strictly adhering to the DNSSEC standard, are nonetheless
 235       interoperable with clients and server that do implement the DNSSEC
 236       standard.
 237
 238    Non-Backwards-Compatible: describes experiments that would cause a
 239       standard DNSSEC-aware resolver to (incorrectly) determine that all
 240       or part of a zone is bogus, or to otherwise not interoperable with
 241       standard DNSSEC clients and servers.
 242
 243    Not included in these terms are experiments with the core DNS
 244    protocol itself.
 245
 246    The methodology described in this document is not necessary for
 247    backwards-compatible experiments, although it certainly could be used
 248    if desired.
 249
 250    Note that, in essence, this metholodolgy would also be used to
 251    introduce a new DNSSEC algorithm, independently from any DNSSEC
 252    experimental protocol change.
 253
 254
 255
 256
 257
 258
 259
 260
 261
 262
 263
 264
 265
 266
 267
 268
 269
 270
 271
 272
 273
 274
 275
 276
 277
 278
 279 Blacka                  Expires January 19, 2006                [Page 5]
 280 \f
 281 Internet-Draft             DNSSEC Experiments                  July 2005
 282
 283
 284 4.  Method
 285
 286    The core of the methodology is the use of strictly "unknown"
 287    algorithms to sign the experimental zone, and more importantly,
 288    having only unknown algorithm DS records for the delegation to the
 289    zone at the parent.
 290
 291    This technique works because of the way DNSSEC-compliant validators
 292    are expected to work in the presence of a DS set with only unknown
 293    algorithms.  From [3], Section 5.2:
 294
 295       If the validator does not support any of the algorithms listed in
 296       an authenticated DS RRset, then the resolver has no supported
 297       authentication path leading from the parent to the child.  The
 298       resolver should treat this case as it would the case of an
 299       authenticated NSEC RRset proving that no DS RRset exists, as
 300       described above.
 301
 302    And further:
 303
 304       If the resolver does not support any of the algorithms listed in
 305       an authenticated DS RRset, then the resolver will not be able to
 306       verify the authentication path to the child zone.  In this case,
 307       the resolver SHOULD treat the child zone as if it were unsigned.
 308
 309    While this behavior isn't strictly mandatory (as marked by MUST), it
 310    is unlikely that a validator would not implement the behavior, or,
 311    more to the point, it will not violate this behavior in an unsafe way
 312    (see below (Section 6).)
 313
 314    Because we are talking about experiments, it is RECOMMENDED that
 315    private algorithm numbers be used (see [2], appendix A.1.1.  Note
 316    that secure handling of private algorithms requires special handing
 317    by the validator logic.  See [6] for futher details.)  Normally,
 318    instead of actually inventing new signing algorithms, the recommended
 319    path is to create alternate algorithm identifiers that are aliases
 320    for the existing, known algorithms.  While, strictly speaking, it is
 321    only necessary to create an alternate identifier for the mandatory
 322    algorithms, it is RECOMMENDED that all OPTIONAL defined algorithms be
 323    aliased as well.
 324
 325    It is RECOMMENDED that for a particular DNSSEC experiment, a
 326    particular domain name base is chosen for all new algorithms, then
 327    the algorithm number (or name) is prepended to it.  For example, for
 328    experiment A, the base name of "dnssec-experiment-a.example.com" is
 329    chosen.  Then, aliases for algorithms 3 (DSA) and 5 (RSASHA1) are
 330    defined to be "3.dnssec-experiment-a.example.com" and "5.dnssec-
 331    experiment-a.example.com".  However, any unique identifier will
 332
 333
 334
 335 Blacka                  Expires January 19, 2006                [Page 6]
 336 \f
 337 Internet-Draft             DNSSEC Experiments                  July 2005
 338
 339
 340    suffice.
 341
 342    Using this method, resolvers (or, more specificially, DNSSEC
 343    validators) essentially indicate their ability to understand the
 344    DNSSEC experiment's semantics by understanding what the new algorithm
 345    identifiers signify.
 346
 347    This method creates two classes of DNSSEC-aware servers and
 348    resolvers: servers and resolvers that are aware of the experiment
 349    (and thus recognize the experiments algorithm identifiers and
 350    experimental semantics), and servers and resolvers that are unware of
 351    the experiment.
 352
 353    This method also precludes any zone from being both in an experiment
 354    and in a classic DNSSEC island of security.  That is, a zone is
 355    either in an experiment and only experimentally validatable, or it
 356    isn't.
 357
 358
 359
 360
 361
 362
 363
 364
 365
 366
 367
 368
 369
 370
 371
 372
 373
 374
 375
 376
 377
 378
 379
 380
 381
 382
 383
 384
 385
 386
 387
 388
 389
 390
 391 Blacka                  Expires January 19, 2006                [Page 7]
 392 \f
 393 Internet-Draft             DNSSEC Experiments                  July 2005
 394
 395
 396 5.  Defining an Experiment
 397
 398    The DNSSEC experiment must define the particular set of (previously
 399    unknown) algorithms that identify the experiment, and define what
 400    each unknown algorithm identifier means.  Typically, unless the
 401    experiment is actually experimenting with a new DNSSEC algorithm,
 402    this will be a mapping of private algorithm identifiers to existing,
 403    known algorithms.
 404
 405    Normally the experiment will choose a DNS name as the algorithm
 406    identifier base.  This DNS name SHOULD be under the control of the
 407    authors of the experiment.  Then the experiment will define a mapping
 408    between known mandatory and optional algorithms into this private
 409    algorithm identifier space.  Alternately, the experiment MAY use the
 410    OID private algorithm space instead (using algorithm number 254), or
 411    may choose non-private algorithm numbers, although this would require
 412    an IANA allocation (see below (Section 9).)
 413
 414    For example, an experiment might specify in its description the DNS
 415    name "dnssec-experiment-a.example.com" as the base name, and provide
 416    the mapping of "3.dnssec-experiment-a.example.com" is an alias of
 417    DNSSEC algorithm 3 (DSA), and "5.dnssec-experiment-a.example.com" is
 418    an alias of DNSSEC algorithm 5 (RSASHA1).
 419
 420    Resolvers MUST then only recognize the experiment's semantics when
 421    present in a zone signed by one or more of these private algorithms.
 422
 423    In general, however, resolvers involved in the experiment are
 424    expected to understand both standard DNSSEC and the defined
 425    experimental DNSSEC protocol, although this isn't required.
 426
 427
 428
 429
 430
 431
 432
 433
 434
 435
 436
 437
 438
 439
 440
 441
 442
 443
 444
 445
 446
 447 Blacka                  Expires January 19, 2006                [Page 8]
 448 \f
 449 Internet-Draft             DNSSEC Experiments                  July 2005
 450
 451
 452 6.  Considerations
 453
 454    There are a number of considerations with using this methodology.
 455
 456    1.  Under some circumstances, it may be that the experiment will not
 457        be sufficiently masked by this technique and may cause resolution
 458        problem for resolvers not aware of the experiment.  For instance,
 459        the resolver may look at the not validatable response and
 460        conclude that the response is bogus, either due to local policy
 461        or implementation details.  This is not expected to be the common
 462        case, however.
 463
 464    2.  In general, it will not be possible for DNSSEC-aware resolvers
 465        not aware of the experiment to build a chain of trust through an
 466        experimental zone.
 467
 468
 469
 470
 471
 472
 473
 474
 475
 476
 477
 478
 479
 480
 481
 482
 483
 484
 485
 486
 487
 488
 489
 490
 491
 492
 493
 494
 495
 496
 497
 498
 499
 500
 501
 502
 503 Blacka                  Expires January 19, 2006                [Page 9]
 504 \f
 505 Internet-Draft             DNSSEC Experiments                  July 2005
 506
 507
 508 7.  Transitions
 509
 510    If an experiment is successful, there may be a desire to move the
 511    experiment to a standards-track extension.  One way to do so would be
 512    to move from private algorithm numbers to IANA allocated algorithm
 513    numbers, with otherwise the same meaning.  This would still leave a
 514    divide between resolvers that understood the extension versus
 515    resolvers that did not.  It would, in essence, create an additional
 516    version of DNSSEC.
 517
 518    An alternate technique might be to do a typecode rollover, thus
 519    actually creating a definitive new version of DNSSEC.  There may be
 520    other transition techniques available, as well.
 521
 522
 523
 524
 525
 526
 527
 528
 529
 530
 531
 532
 533
 534
 535
 536
 537
 538
 539
 540
 541
 542
 543
 544
 545
 546
 547
 548
 549
 550
 551
 552
 553
 554
 555
 556
 557
 558
 559 Blacka                  Expires January 19, 2006               [Page 10]
 560 \f
 561 Internet-Draft             DNSSEC Experiments                  July 2005
 562
 563
 564 8.  Security Considerations
 565
 566    Zones using this methodology will be considered insecure by all
 567    resolvers except those aware of the experiment.  It is not generally
 568    possible to create a secure delegation from an experimental zone that
 569    will be followed by resolvers unaware of the experiment.
 570
 571
 572
 573
 574
 575
 576
 577
 578
 579
 580
 581
 582
 583
 584
 585
 586
 587
 588
 589
 590
 591
 592
 593
 594
 595
 596
 597
 598
 599
 600
 601
 602
 603
 604
 605
 606
 607
 608
 609
 610
 611
 612
 613
 614
 615 Blacka                  Expires January 19, 2006               [Page 11]
 616 \f
 617 Internet-Draft             DNSSEC Experiments                  July 2005
 618
 619
 620 9.  IANA Considerations
 621
 622    IANA may need to allocate new DNSSEC algorithm numbers if that
 623    transition approach is taken, or the experiment decides to use
 624    allocated numbers to begin with.  No IANA action is required to
 625    deploy an experiment using private algorithm identifiers.
 626
 627
 628
 629
 630
 631
 632
 633
 634
 635
 636
 637
 638
 639
 640
 641
 642
 643
 644
 645
 646
 647
 648
 649
 650
 651
 652
 653
 654
 655
 656
 657
 658
 659
 660
 661
 662
 663
 664
 665
 666
 667
 668
 669
 670
 671 Blacka                  Expires January 19, 2006               [Page 12]
 672 \f
 673 Internet-Draft             DNSSEC Experiments                  July 2005
 674
 675
 676 10.  References
 677
 678 10.1  Normative References
 679
 680    [1]  Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
 681         "DNS Security Introduction and Requirements", RFC 4033,
 682         March 2005.
 683
 684    [2]  Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
 685         "Resource Records for the DNS Security Extensions", RFC 4034,
 686         March 2005.
 687
 688    [3]  Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose,
 689         "Protocol Modifications for the DNS Security Extensions",
 690         RFC 4035, March 2005.
 691
 692 10.2  Informative References
 693
 694    [4]  Mockapetris, P., "Domain names - implementation and
 695         specification", STD 13, RFC 1035, November 1987.
 696
 697    [5]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
 698         Levels", BCP 14, RFC 2119, March 1997.
 699
 700    [6]  Weiler, S., "Clarifications and Implementation Notes for
 701         DNSSECbis", draft-weiler-dnsext-dnssec-bis-updates-00 (work in
 702         progress), March 2005.
 703
 704
 705 Author's Address
 706
 707    David Blacka
 708    Verisign, Inc.
 709    21355 Ridgetop Circle
 710    Dulles, VA  20166
 711    US
 712
 713    Phone: +1 703 948 3200
 714    Email: davidb@verisign.com
 715    URI:   http://www.verisignlabs.com
 716
 717
 718
 719
 720
 721
 722
 723
 724
 725
 726
 727 Blacka                  Expires January 19, 2006               [Page 13]
 728 \f
 729 Internet-Draft             DNSSEC Experiments                  July 2005
 730
 731
 732 Intellectual Property Statement
 733
 734    The IETF takes no position regarding the validity or scope of any
 735    Intellectual Property Rights or other rights that might be claimed to
 736    pertain to the implementation or use of the technology described in
 737    this document or the extent to which any license under such rights
 738    might or might not be available; nor does it represent that it has
 739    made any independent effort to identify any such rights.  Information
 740    on the procedures with respect to rights in RFC documents can be
 741    found in BCP 78 and BCP 79.
 742
 743    Copies of IPR disclosures made to the IETF Secretariat and any
 744    assurances of licenses to be made available, or the result of an
 745    attempt made to obtain a general license or permission for the use of
 746    such proprietary rights by implementers or users of this
 747    specification can be obtained from the IETF on-line IPR repository at
 748    http://www.ietf.org/ipr.
 749
 750    The IETF invites any interested party to bring to its attention any
 751    copyrights, patents or patent applications, or other proprietary
 752    rights that may cover technology that may be required to implement
 753    this standard.  Please address the information to the IETF at
 754    ietf-ipr@ietf.org.
 755
 756
 757 Disclaimer of Validity
 758
 759    This document and the information contained herein are provided on an
 760    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 761    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
 762    ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
 763    INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
 764    INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 765    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 766
 767
 768 Copyright Statement
 769
 770    Copyright (C) The Internet Society (2005).  This document is subject
 771    to the rights, licenses and restrictions contained in BCP 78, and
 772    except as set forth therein, the authors retain all their rights.
 773
 774
 775 Acknowledgment
 776
 777    Funding for the RFC Editor function is currently provided by the
 778    Internet Society.
 779
 780
 781
 782
 783 Blacka                  Expires January 19, 2006               [Page 14]
 784 \f