DNSSEC

DNS 활동 변화

DNSSEC 준비 시 .com/.net/.edu 이름 서버에 대한 변경사항

2010년 3월 1일, Verisign은 .com, .net 및 .edu 영역([a-m].gtld-servers.net)의 ANS(authoritative name server)의 활동에 영향을 미치는 두 가지 사항을 변경했습니다. 변경사항은 이 세 영역에 DNSSEC를 배포하기 위한 전제 조건입니다. 두 가지 변경사항은
'새 참조 행동' 및 '글루(glue)를 더 이상 권한이 있는 상태로 승격시키지 않음'입니다.

새 참조 행동 

과거에는 글루(위임 지점의 NS 레코드 또는 그 아래 위치한 주소 레코드) 역할을 하는 기존 A 또는 AAAA 레코드 조회 시 .com 및 .net의 ANS(authoritative name server)가 응답 섹션에 글루 레코드를 반환했습니다. 그러나, 응답은 권한이 있는 것으로 표시되지 않았습니다. (즉, AA 비트가 설정되지 않았습니다.) 이 활동은 DNS 표준을 따르는 활동이었지만, 최근의 권한 서버는 이러한 방식으로 응답하지 않습니다. 대신, 위임 지점 또는 그 아래 위치한 이름 조회 시 최근의 권한 서버는 위임 영역에 참조를 반환합니다. 이 활동 역시 DNS 표준에 의해 지원됩니다.

[a-m].gtld-servers.net 서버는 이제 최근의 참조 활동으로 변경되었습니다. 글루 레코드를 조회하면 권한이 없는 응답 대신 참조가 반환됩니다.

이 변경사항은 .com 및 .net 아래 서로 종속된 특정 도메인의 확인에도 영향을 미칩니다. 예를 들어, 다음과 같이 서로 종속된 "example.com"과 "example.net" 영역 구성은 과거에는 문제없이 작동했습니다.

example.com. NS ns1.example.net.
example.com. NS ns2.example.net.

example.net. NS ns1.example.com.
example.net. NS ns2.example.com.

이 두 도메인은 "순환적(cycle)"으로 구성되었는데, example.com의 모든 서버가 example.net 도메인에 있고 example.net의 모든 서버 또한 example.com 도메인에 있습니다. [a-m].gtld-servers.net이 .com 및 .net 영역에 대한 권한이 있고 이들 서버가 위에 설명한 바와 같이 글루에 대한 조회 시 권한이 없는 응답을 반환했기 때문에 이러한 순환적 구성은 리졸브되었습니다.

이 구성이 적용되었던 이유를 정확히 이해하기 위해 반복 리졸버(resolver)(쿼리를 보내는 RNS(recursive name server)의 일부)가 "www.example.com"의 데이터를 리졸브하기 위해 어떤 단계를 따르는지 알아 보겠습니다.

  • 반복 리졸버가 .com ANS(authoritative name server)에 "www.example.com"에 대해 조회하고 "example.net"의 이름 서버만 나열된 "example.com"에 대한 참조를 수신합니다.
  • 참조에는 DNS 메시지의 추가 섹션에 "ns1.example.net" 및 "ns2.example.net"의 A 레코드가 포함되지만, 최신 반복 리졸버는 이 레코드를 캐시 중독(cache poisoning)에 대한 방어로 간주하여 무시합니다.
  • "ns1.example.net" 및 "ns2.example.net"의 A 레코드를 버렸기 때문에 반복 리졸버(resolver)에는 이제 이름은 있지만 어떤 "example.com" 이름 서버에 대한 주소도 가지고 있지 않습니다. "example.com" 이름 서버 중 하나의 주소를 조회하기 위해서는 "www.example.com"에 대한 쿼리를 일시적으로 중단해야 합니다. 리졸버에서 "ns1.example.net"을 확인한다고 가정하겠습니다.
  • 반복 리졸버가 궁극적으로 .net ANS(authoritative name server)에 "ns1.example.net"의 A 레코드를 조회합니다. [a-m].gtld-servers.net의 현재 참조 형태에서 .net 서버가 "ns1.example.net"의 A 레코드에 대해 권한이 없는 응답을 반환합니다. 반복 리졸버가 이 주소를 사용하여 "example.com"에 접촉하고 "www.example.com"을 리졸브합니다.

그렇지만, 2010년 3월 1일부터는 .net 서버가 "ns1.example.net"의 A 레코드를 반환하지 않습니다. 대신 "example.net"에 대한 참조를 반환합니다. 그러나, 모든 "example.net" 이름 서버가 "example.com" 도메인에 있다는 것을 기억하십시오. 반복 리졸버가 지금 "ns1.example.net"을 확인하려고 시도하는 유일한 이유는 분명히 "example.com" 도메인에도 있는 초기 쿼리 "www.example.com"을 리졸브하기 위한 것입니다. 따라서, 각 도메인이 서로 종속된 상태에서는 더 이상 리졸브에 성공할 수 없습니다.

Verisign은 이 변경사항에 영향을 받을 수 있는 두 개의 .com 및 .net 도메인 목록을 작성했습니다.

목록 1: 순환 구성에 해당되는 도메인

이 목록의 도메인은 위에 설명한 대로 서로 종속되어 있습니다. 예를 들어, 위에 설명한 시나리오에서 "example.com" 및 "example.net"은 모두 목록 #1에 포함됩니다.

목록 2: 순환 구성에 해당되는 도메인에 배타적으로 종속된 도메인

이 목록의 도메인은 목록 #1의 도메인처럼 실제적으로 순환 구성에 포함되지 않습니다. 대신, 목록 #2의 모든 도메인은 순환 구성에 포함된 도메인의 이름 서버를 배타적으로 사용합니다. 바꾸어 말하면, 목록 #2의 도메인에는 목록 #1의 하나 이상의 도메인의 모든 이름 서버가 포함됩니다. 위의 예의 경우 도메인 "foo.com"에 이름 서버 "ns1.example.com" 및 "ns2.example.com"가 있으면 "foo.com"은 목록 #2에 표시됩니다.

도메인이 둘 중 하나의 목록에 표시되는 경우, 3월 1일의 변경사항에 따라 (목록 #1의 도메인의 경우) 하나 이상의 이름 서버에서 순환 구조를 깨도록 변경하거나 (목록 #2의 도메인의 경우) 도메인의 순환 구성에 대한 종속성을 제거해야 합니다.

글루(glue)를 더 이상 권한이 있는 상태로 승격시키지 않음 

.com/.net 레지스트리 시스템에서는 도메인을 권한이 있는 보류 상태로 설정할 수 있습니다. 보류 중인 도메인은 게시되지 않습니다. 도메인을 위임하는 NS 레코드가 .com 또는 .net 영역에서 제거됩니다. 예를 들어, 도메인이 곧 만료될 예정이지만 등록자가 도메인 갱신 요청에 응답하지 않거나 도메인이 악의적인 활동에 사용되는 경우 종종 레지스트라가 도메인을 보류 상태로 설정합니다.

변경 전에는 도메인이 보류 상태로 설정되면 해당 도메인의 NS 레코드는 영역에서 제거되었지만 해당 도메인의 이름 서버의 A 및 AAAA 레코드는 제거되지 않았습니다. 예를 들어, 도메인 "example.com"이 이름 서버 "ns.example.com"과 함께 레지스트리에 존재하다고 가정합니다. (중요한 참고: "example.com" 영역 자체에서 "ns.example.com"을 실제로 ANS(authoritative name server)로 사용하는지 여부는 여기 설명한 활동과 무관합니다. 중요한 점은 "ns.example.com"이 "example.com" 도메인에, 즉 DNS 이름 공간에서 "example.com" 도메인 아래 있다는 것입니다.)

이전에는 "example.com" 도메인이 보류 상태로 설정되면 해당 도메인을 위임하는 NS 레코드가 .com 영역에서 제거되었습니다. "ns.example.com"의 A 및 AAAA 레코드는 영역에 남아 있습니다. 사실, 이들 레코드는 더 이상 위임 지점 아래 있지 않기 때문에 권한이 있는 데이터로 승격되었습니다.

2010년 3월 1일부터는 도메인이 보류 상태로 설정되면 도메인을 위임하는 NS 레코드가 영역에서 삭제되며 도메인 아래 이름 서버의 A 및 AAAA 레코드가 더 이상 권한이 있는 상태로 승격되지 않습니다. 이 A 및 AAAA 레코드는 실제로 제거되지 않습니다. 직접 조회할 경우 반환되지 않지만 이들 레코드를 참조하는 참조의 추가 섹션에 표시됩니다.

위의 예에서 "example.com"이 보류 상태로 설정되면 해당 도메인의 NS 레코드가 영역에서 제거됩니다. 그러나 "example.net" 도메인이 "ns.example.com"을 이름 서버로 사용하는 경우 "example.net"에 대한 참조 응답에는 "ns.example.com"의 A 및 AAAA 레코드가 추가 섹션에 포함됩니다.

이 변경사항에 대한 문의사항이 있는 경우 Verisign의 레지스트리 고객 서비스 그룹에 연락하십시오.

맨 위로 이동