c# .net pdf viewer : Add page numbers to pdf document application control tool html web page windows online Ron%20Aitchison%20-%20Pro%20DNS%20and%20BIND%2010%20-%20201132-part1355

CHAPTER 11  DNSSEC 
320 
Figure 11–2. Trusted anchors 
In Figure 11–2, NS2 will continue to operate transparently as before, but NS1 has been configured 
with a trusted anchor for the domain example.com such that all queries for this domain can be securely 
authenticated—indicated by setting the Authenticated Data (AD) bit in the message header response 
(see Chapter 15 for details). It does not, however, have a trusted anchor for the domain 168.192.in-
addr.arpa, and in this case, responses from this zone will continue to behave as if they were not secure. 
Theoretically, NS1, a validating resolver, is able to determine the following states from the responses 
from any name server: 
• Secure: A trusted anchor is present for the zone and has been used to validate the 
received data successfully. In Figure 11–2, only example.com will generate such 
• Insecure: A trusted anchor is present and information allows the name server to 
prove that at a delegation point there is no secure link to the zone. In Figure 11–2, 
sub.example.com is the only domain that will generate such a response state. 
• Bogus: A trusted anchor exists, but the data failed to authenticate at the receiving 
name server using the trusted anchor. An attempt to spoof or corrupt any 
response from the domain example.com will generate this state. 
• Indeterminate: There is no trusted anchor for the domain. This will be the 
response state for all domains in Figure 11–2 (including 168.192.in-addr.arpa) 
except example.com and sub.example.com. 
Clearly, it’s not practical for every name server to have a trusted anchor for every secure domain on 
the Internet. If this were the only part of DNSSEC, it would simply not scale for Internet-wide 
deployment. However, before looking at the next set of features, it is worth noting that communities of 
interest that have finite membership, such as affinity groups, and enterprise networks could implement 
DNSSEC—even with the relatively limited features described so far—and gain immediate access to 
secured capabilities within the interest groups while continuing to provide transparent service to the 
wider security-oblivious community.  
Root-servers
.tld-Servers
User Servers
Recursive Name Servers
Queries
. (root)
. com
. net
.arpa
ipv6.arpa
sub.example.com
sub.example.net 192.in-addr.arpa
168.192.in-addr.arpa
NS1
(Security Aware)
NS2
(Security Oblivious)
example.net
in-addr.arpa
example.com
Trusted anchor
example.com
Add page numbers to pdf document - insert pages into PDF file in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Guide C# Users to Insert (Empty) PDF Page or Pages from a Supported File Format
add page numbers to pdf reader; adding page numbers to pdf in reader
Add page numbers to pdf document - VB.NET PDF Page Insert Library: insert pages into PDF file in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Easy to Use VB.NET APIs to Add a New Blank Page to PDF Document
adding page numbers to pdf files; add a blank page to a pdf
CHAPTER 11 ■ DNSSEC 
321
Chains of Trust 
Figure 11–3 shows that any single island of security can be joined to another secure (signed) domain
through its delegation point—the NS RRs that point from the parent domain or zone to the child domain or
zone—and can be authenticated using the final RR in the DNSSEC set called a Delegated Signer (DS) RR. 
In Figure 11–3, a chain of trust is shown from example.com to sub.example.com. Three points flow
from this process: 
The child zone, sub.example.com in Figure 11–3, must be secure before secure
delegation can occur. Securing the zone is an essential prerequisite to creating
chains of trust. 
Figure 11–3. Creating chains of trust 
The trusted anchor for example.com covers the secure zones that are delegated
from it. In the case of Figure 11–3, the trusted anchor for example.com covers the
child zone sub.example.com. The delegation can be securely tracked from
example.com (the parent that is covered by the trusted anchor) to sub.example.com
(the child) using a chain of trust provided by the DS RR. Any number of levels can
be covered using this chain of trust concept. 
Delegation chains can be built both upward as well as downward. Thus, if the
gTLD domain .com were secured, the existing secure domain example.com can
immediately join the chain, while unsecured domains can continue to operate
unchanged (that is, they will not enjoy the benefits of security until action is taken
to secure them). The NS1 validating resolver (a security-aware resolver) would
require a new trusted anchor to cover the secured .com domain, but this single
trusted anchor would cover the whole .com domain, including example.com, as
shown in Figure 11–4. 
As previously noted, the root zone was signed in July 2010. In addition, at the date of publication,
over 60 gTLD and ccTLD zones were also signed and had placed DS RRs in the root zone. It is thus
possible, using a single root-key as a trusted anchor (in a trusted-keys clause), for a validating resolver
to cryptographically validate queries to any signed zone (domain name) under one of these signed TLDs
by following the chain through the DS RR(s) from the root. 
Root-servers
.tld-Servers
User Servers
Recursive Name Servers
Queries
. (root)
. com
. net
.arpa
ipv6.arpa
sub.example.com
sub.example.net
Secure Delegation
192.in-addr.arpa
168.192.in-addr.arpa
NS1
(Security Aware)
NS2
(Security Oblivious)
example.net
in-addr.arpa
example.com
Trusted anchor
example.com
C# Create PDF Library SDK to convert PDF from other file formats
offer them the ability to count the page numbers of generated document in C#.NET using this PDF document creating toolkit, if you need to add some text
add and delete pages in pdf online; add pages to an existing pdf
C# Word - Word Create or Build in C#.NET
also offer them the ability to count the page numbers of generated using this Word document adding control, you can add some additional Create Word From PDF.
add page number to pdf file; adding page numbers to a pdf file
CHAPTER 11  DNSSEC 
322 
Figure 11–4. Joining chains of trust 
Having described the DNSSEC process, it’s time to start looking at the details of how it all works 
starting with securing the zone file—the first step in the implementation sequence. 
Securing or Signing the Zone 
The first step in implementation of DNSSEC is to cryptographically sign the zone files. This is done using 
the dnssec-signzone utility provided with all BIND distributions. However, before we get anywhere near 
Zones are digitally signed using the private key of a public key (asymmetric) encryption technology. 
DNSSEC allows for the use of RSA-SHA-1, RSA-SHA256, RSA-SHA512, DSA-SHA-1, and RSA-MD5 digital 
signatures. The public key corresponding to the private key used to sign the zone is published using a 
DNSKEY RR and will appear at the apex or root of the zone file; for example, if the zone being signed is 
example.com, then a DNSKEY RR with a name of example.com will appear in the zone file. 
 Note The private key of the signing algorithm is only required to be available during the signing process—all 
verification at security-aware name servers is accomplished using the public key only. Thus, following signing, it’s 
a common practice to take the public key offline, which may involve physically removing the key from the server or 
moving it to a more secure part of the server. In the case of Dynamic DNS (DDNS), taking the private key offline 
may not be possible—see the “Dynamic DNS and DNSSEC” section later in this chapter. Further discussion of this 
topic is also included in “DNSSEC Implementation.” 
Two types of keys are identified for use in zone signing operations. The first type is called a Zone 
Signing Key (ZSK), and the second type is called a Key Signing Key (KSK). The ZSK is used to sign the 
RRsets within the zone, and this includes signing the ZSK itself. The public key of this ZSK uses a 
example.com, the ZSK’s 
public key will be defined by a DNSKEY RR, which has a name of example.com.  
Root-servers
.tld-Servers
User Servers
Recursive Name Servers
Queries
. (root)
. net
.arpa
ipv6.arpa
sub.example.com
sub.example.net
Secure Delegation
192.in-addr.arpa
168.192.in-addr.arpa
NS1
(Security Aware)
NS2
(Security Oblivious)
example.net
in-addr.arpa
example.com
Trusted anchor
.com
. com
C# PowerPoint - PowerPoint Creating in C#.NET
offer them the ability to count the page numbers of generated in C#.NET using this PowerPoint document creating toolkit, if you need to add some text
add page number to pdf online; adding pages to a pdf
C# Word - Word Creating in C#.NET
offer them the ability to count the page numbers of generated document in C#.NET using this Word document creating toolkit, if you need to add some text
add page numbers to a pdf file; adding pages to a pdf document
CHAPTER 11 ■ DNSSEC 
323
The KSK is used to sign the keys at the apex or root of the zone, which includes the ZSK and the KSK; 
it may also be used or referenced outside the zone either as the trusted anchor in a validating resolver or 
as part of the chain of trust (from the DS RRs) by a parent name server. The KSK is also defined in a 
example.com, then the name of the 
DNSKEY RR of the KSK will also be example.com. The difference between the ZSK and the KSK is 
therefore one of usage not definition, and it is a matter of local operational choice whether a single 
and KSK. The DNSSEC standards allow both methods. This book will use separate keys for the ZSF and 
the KSK throughout this section to clearly separate the functionality. The RFC on DNSSEC Operational 
Practices also recommends the use of separate keys (RFC 4641). Both ZSKs and KSK use a DNSKEY RR; a 
ZSK DNSKEY RR has a flags field of 256 (see Chapter 13 DNSKEY Record), whereas a KSK is indicated by 
a flags field value of 257. 
 Note The 
flags
field in a DNSKEY RR is a decimal representation of a bit-significant field; thus the decimal 
value 256 represents bit 7 of the 16-bit 
flags
field (bits numbered from the left starting from 0) and indicates a 
ZSK. The decimal value 
257
represents both bit 7 (ZSK) and bit 15, the Secure Entry Point (SEP) bit. The SEP bit is 
used to indicate, solely for administrative purposes, that this DNSKEY RR is used as a KSK, and indeed this bit is 
becoming increasingly known as the KSK bit. This bit is not required and plays no role in the secure validation 
process or the protocol. While all of the following examples use this feature, specifically trusted anchors and DS 
RRs point to DNSKEY RRs with the SEP bit set (flags value of 257), they could just as easily have pointed to 
DNSKEY RRs with only the ZSK bit set (
flags
value of 256). The SEP bit is, in modern jargon, pure sugar. Its job in 
life is to make matters more pleasant! All that being said, the current recommended best practice is to use 
separate keys, which means the SEP bit will be set on the KSK. 
Figure 11–5 shows the usage of the two key types. 
Figure 11–5. Usage of Zone Signing Key and Key Signing Key 
Recursive Name Servers
(Security Aware)
Mutually Exclusive
Signs
Zone
RRsets
Signs
Keys
Trusted anchor
example.com
Parent (.com) Zone File
DS RR
(Secure Delegation
example.com Zone File
DNSKEY RR (KSK)
DNSKEY RR (ZSK)
Zone RRset
Zone RRset
VB.NET TIFF: VB.NET Sample Codes to Sort TIFF File with .NET
manipulating multi-page TIFF (Tagged Image File), PDF, Microsoft Office If you want to add barcode into a TIFF a multi-page TIFF file with page numbers using VB
add and delete pages from pdf; add page number to pdf
C# Excel: Create and Draw Linear and 2D Barcodes on Excel Page
can also load document like PDF, TIFF, Word get the first page BasePage page = doc.GetPage REImage barcodeImage = linearBarcode.ToImage(); // add barcode image
add page pdf; add page number to pdf in preview
CHAPTER 11  DNSSEC 
324 
Wh
are generated using the normal dnssec-keygen utility (described in Chapter 9) with the name of the zone. 
The detail process including the parameters used will be illustrated later in the various operational 
examples. The resulting DNSKEY RRs are either added to the zone file directly or by using an $INCLUDE 
directive (see Chapter 13) as shown in the following example.com zone file: 
$TTL 86400 ; 1 day 
$ORIGIN example.com. 
@           IN SOA ns1.example.com. hostmaster.example.com. ( 
2010121500 ; serial 
43200      ; refresh (12 hours) 
600        ; retry (10 minutes) 
604800     ; expire (1 week) 
10800      ; nx (3 hours) 
IN  NS ns1.example.com. 
IN  NS ns2.example.com. 
IN  MX 10 mail.example.com. 
IN  MX 10 mail1.example.com. 
_ldap._tcp  IN  SRV 5 2 235 www 
ns1         IN  A  192.168.2.6 
ns2         IN  A  192.168.23.23 
www         IN  A  10.1.2.1 
IN  A  172.16.2.1 
ftp         IN CNAME ftp.example.net. 
mail        IN  A  192.168.2.3 
mail1       IN  A  192.168.2.4 
$ORIGIN sub.example.com. 
@           IN  NS ns3.sub.example.com. 
IN  NS ns4.sub.example.com. 
ns3         IN  A  10.2.3.4 ; glue RR 
ns4         IN  A  10.2.3.5 ; glue RR 
; This is a key-signing key, keyid 34957, for example.com. 
; Created: 20101216115248 (Thu Dec 16 06:52:48 2010) 
; Publish: 20101216115248 (Thu Dec 16 06:52:48 2010) 
; Activate: 20101216115248 (Thu Dec 16 06:52:48 2010) 
example.com. IN DNSKEY 257 3 8 (AwEAAcdPX24uAsa2b2dfBG 
b+GfC2kkEpaDCEXcS2oMmsL 
mxfUi0jw4+5FlEB74AmvNTY 
ovJKhcekPlJGUqULnpohbcB 
qgtGKGPtOy43taTl3kCoH B 
T+8IE1RzCGnDmG7HNWB6Bjk 
Qqp1gk/R5Jq6Dp+JyHN03OH 
qgHv2KrRu vUOXV+8l) 
; This is a zone-signing key, keyid 27228, for example.com. 
; Created: 20101216115101 (Thu Dec 16 06:51:01 2010) 
; Publish: 20101216115101 (Thu Dec 16 06:51:01 2010) 
; Activate: 20101216115101 (Thu Dec 16 06:51:01 2010) 
example.com. IN DNSKEY 256 3 8 (AwEAAe9cQz4kHCCaocjIlSB 
547QVSUZ9xYBPqTXPX2oTXr 
zyHqfgPPnM ZFvvPwGDZtZT 
q1K9kkEFXJ9FpwvlslKZT0W 
emnIci4qH8uWmoY8n7/n/ b 
wLGAuyE6R1FMWTpDSy8sDSj 
C# Excel - Excel Creating in C#.NET
also offer them the ability to count the page numbers of generated in C#.NET using this Excel document creating toolkit, if you need to add some text
adding page to pdf in preview; add page numbers to pdf
VB.NET Image: Guide to Convert Images to Stream with DocImage SDK
Follow this guiding page to learn how to easily convert a single image or numbers of it an image processing component which can enable developers to add a wide
add pages to pdf file; adding pages to a pdf document in preview
CHAPTER 11 ■ DNSSEC 
325
PKaqqXXf8R77exTNyWDf0Rf 
dHvQXCjnx Gls1o4Y5) 
The first DNSKEY RR is the KSK indicated by the flags value of 257; the second DNSKEY RR, the 
ZSK, has a flags value of 256 (for details see Chapter 13). The zone is now ready for signing, which is 
done using the dnssec-signzone utility—details of running this utility are fully illustrated later in the 
example. When a zone is signed, the dnssec-signzone utility does a number of automagical things: 
•  
• It adds an NSEC RR after each RR to chain together the valid host names 
appearing in the zone file. The last NSEC RR will point back to the zone apex or 
root. 
• 
DNSKEY RRs and the newly added NSEC RRs from step 2. 
• 
apex. 
The resulting file—which by default has .signed appended to the name of the master zone file—
after running the dnssec-signzone utility will look like that shown here: 
; File written on Sat Dec 18 21:31:01 2010 
; dnssec_signzone version 9.7.2-P2 
example.com.  86400 IN SOA ns1.example.com. hostmaster.example.com. ( 
2010121500 ; serial 
43200      ; refresh (12 hours) 
600        ; retry (10 minutes) 
604800     ; expire (1 week) 
10800      ; minimum (3 hours) 
86400    RRSIG  SOA 8 2 86400 20110118013101 ( 
20101219013101 27228 example.com. 
Mnm5RaKEFAW4V5dRhP70xLtGAFMb/Zsej2vH 
mK507zHL+U2Hbx+arMMoA/aOxtp6Jxp0FWM3 
67VHclTjjGX9xf++6qvA65JHRNvKoZgXGtXI 
VGG6ve8A8J9LRePtCKwo3WfhtLEMFsd1KI6o 
JTViPzs3UDEqgAvy8rgtvwr80a8= ) 
86400   NS             ns1.example.com. 
86400   NS             ns2.example.com. 
86400   RRSIG   NS 8 2 86400 20110118013101 ( 
20101219013101 27228 example.com. 
ubbRJV+DiNmgQITtncLOCjIw4cfB4qnC+DX8 
.... 
S78T5Fxh5SbLBPTBKmlKvKxcx6k= ) 
86400   MX         10 mail.example.com. 
86400   MX         10 mail1.example.com. 
86400   RRSIG   MX 8 2 86400 20110118013101 ( 
20101219013101 27228 example.com. 
K5CVLZDZ/p8KeVVJ/2kxMjN8QaYLZRmvcbi0 
.... 
T8a4tw5E+Sv/BX+x1QqksFics64= ) 
10800   RRSIG   NSEC 8 2 10800 20110118013101 ( 
20101219013101 27228 example.com. 
C# Word: How to Use C# Code to Print Word Document for .NET
are also available within C# Word Printer Add-on , like pages at one paper, setting the page copy numbers to be C# Class Code to Print Certain Page(s) of Word.
adding page numbers to pdf in preview; add and remove pages from pdf file online
C#: Use XImage.OCR to Recognize MICR E-13B, OCR-A, OCR-B Fonts
may need to scan and get check characters like numbers and codes. page.RecSettings. LanguagesEnabled.Add(Language.Other); page.RecSettings.OtherLanguage
add page numbers to a pdf document; add pages to pdf
CHAPTER 11  DNSSEC 
326 
UO8drM7W0wyaF6FXqFuybQpUUGvhRr58xM2S 
.... 
PFnee80+vXd4sgN6+SfY6AyQV2M= ) 
86400   DNSKEY  256 3 8 ( 
AwEAAe9cQz4kHCCaocjIlSB547QVSUZ9xYBP 
qTXPX2oTXrzyHqfgPPnMZFvvPwGDZtZTq1K9 
kkEFXJ9FpwvlslKZT0WemnIci4qH8uWmoY8n 
7/n/bwLGAuyE6R1FMWTpDSy8sDSjPKaqqXXf 
8R77exTNyWDf0RfdHvQXCjnxGls1o4Y5 
) ; key id = 27228 
86400   DNSKEY  257 3 8 ( 
AwEAAcdPX24uAsa2b2dfBGb+GfC2kkEpaDCE 
.... 
5Jq6Dp+JyHN03OHqgHv2KrRuvUOXV+8l 
) ; key id = 34957 
86400   RRSIG   DNSKEY 8 2 86400 20110118013101 ( 
20101219013101 27228 example.com. 
rRjX4FpgIhRiZgwE1G8pOKH8Uhz2JksbJsif 
.... 
apROsSPuroSFcRYyxcfLG3HdIS4= ) 
86400   RRSIG   DNSKEY 8 2 86400 20110118013101 ( 
20101219013101 34957 example.com. 
rGqGH632fMqKC5G5yhLZiTUL3liMzu+CTiC1 
.... 
j3d5ig0DKdRHEZKWnvaPZfVWKXo= ) 
_ldap._tcp.example.com. 86400 IN SRV 5 2 235 www.example.com. 
86400   RRSIG   SRV 8 4 86400 20110118013101 ( 
20101219013101 27228 example.com. 
HvjoUq/sQKZb/DnGyWthxNQyeFs62CRtU43a 
.... 
oYmF3EUjBdIgBAJiqdTR/2pqBus= ) 
10800   NSEC    ftp.example.com. SRV RRSIG NSEC 
10800   RRSIG   NSEC 8 4 10800 20110118013101 ( 
20101219013101 27228 example.com. 
fYNrf2jm73jltGDC7aF6DlSTvcyCpZ+cHSiT 
.... 
ZALrIjznKyH8pl66qE989YCIneY= ) 
ftp.example.com. 86400 IN CNAME ftp.example.net. 
86400   RRSIG   CNAME 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
hjChA2GkSRZeQMFY7+LJTlIHDVEL7ZQ3zmyU 
.... 
2pOU1junt22N21bYHT7mF6SZsec= ) 
10800   NSEC    mail.example.com. CNAME RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
0dn+xpgWlx7TRJufHlhkfAxo9wMSCG5O25kb 
.... 
9NE+9NMhbqDhIi0fQ8GEb/b2t4M= ) 
mail1.example.com. 86400         IN A 192.168.2.4 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
bMWvyVmoNcBcq/T4zVABdramRz60thZGITcz 
.... 
CHAPTER 11 ■ DNSSEC 
327
kojE4FfJRdWjCB6F/lpt1pL72nE= ) 
10800   NSEC    ns1.example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
B10ytuM0qcslrDTDnquEKEvO6UVvgxe0ROxZ 
.... 
7D6lMBbDxLcrab4kQY63PjKjFtw= ) 
ns1.example.com. 86400 IN A    192.168.2.6 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
yV3AwrksW8s54jMZdDFsicAVXcdkfvP7jgNo 
.... 
i88/ViKCIREhX3Jl33u0zwv4720= ) 
10800   NSEC    ns2.example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
R6NF/W2J59eRnaBSQCvpLtjvHXcsV8g1OEUb 
.... 
1kjsIkAoSJ6mMnxKhxj7o+CYxJ4= ) 
ns2.example.com. 86400 IN A    192.168.23.23 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
juzbAhNyGevhrrpKq0Y82EXVStLTZk42/vPt 
.... 
7ahKR9HNA9mg2go+H+QLQVYQ18I= ) 
10800   NSEC    sub.example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
a63Sf4DP1UEbqdZKR05I6vMmbNmy9vo7YgS2 
.... 
aCRIk45rOr2aSVGe19kCZQc+fF0= ) 
mail.example.com. 86400 IN A   192.168.2.3 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
hpArsBJoHqi9+9Ys4o46WZogwd8Li4Zn3FkQ 
.... 
MTnI6ULQvwcFfVVif07zs5xBa8U= ) 
10800   NSEC    mail1.example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
TJ+EDteAhUV1KNPG+tbDbGz0jjKjqdHkIoZd 
.... 
qtAtFhFysMH7JFvnKZEOeRec2T0= ) 
sub.example.com. 86400 IN NS   ns3.sub.example.com. 
86400 IN NS     ns4.sub.example.com. 
10800   NSEC    www.example.com. NS RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
UxsUTlFZ9HIIOelqkHPFpoA7HcB/o/oZchdD 
.... 
NbjZ42hmv5kBMq8RKX0Zql4hUsc= ) 
ns3.sub.example.com. 86400 IN A 10.2.3.4 
ns4.sub.example.com. 86400 IN A 10.2.3.5 
www.example.com. 86400     IN A 10.1.2.1 
CHAPTER 11  DNSSEC 
328 
86400 IN A      172.16.2.1 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
wtBArhmhUS76gzkjQR4oun0HMSpeI7UngTFO 
.... 
FVejigwrKP0x+DGGsj6t9qetfmE= ) 
10800   NSEC    example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
k95zDrRq4UmJAAea+m2Ag2mVtqnMgSGMqHCR 
.... 
NFQ9D+/Tvo/Te6ha70Pvs2JGN3Y= ) 
 Note The first RRSIG RR and the first DNSKEY RR in this file contain a complete copy of the signature and the 
key material for reference. The lines containing …. in the subsequent RRSIG RRs indicate that lines have been 
removed, since the base64 material adds no further insight for the human reader—other than the fact that the 
output would be even bigger than shown. For the insatiably curious, the size of the zone file after signing was 
7,965 bytes; before signing, it was 1,833 bytes—a ratio of roughly 4:1. Depending on the content of the zone file, 
this ratio can be as high as 7:1. 
Once you get over the initial feelings of relief that the process is automated, you should note the 
following points: 
• The records have been reordered; specifically, the DNSKEY RRs have been moved 
to the top or apex of the signed file and the A RRs for ns1, ns2, and www have been 
sorted into their expected (canonical) order. 
• NSEC RRs have been added (the first one is after the last MX RR for the zone) such 
that it is possible to chain using these records through the zone file and thus prove 
proof of nonexistence). The last NSEC RR for the A RRs for www.example.com points 
back to the domain root (example.com), indicating there are no additional records 
in the zone file.. 
• Every RRset has been signed with an RRSIG RR. There are four multiple RRsets 
(the DNSKEY RRs, the NS RRs, the MX RRs, and the www.example.com A RRs); all the 
other RRsets comprise single RRs—which are still RRsets! 
• The DNSKEY RRs have been signed twice (there are two RRSIG RRs). The first 
signature uses the KSK and is an artifact of the use of a separate ZSK and KSK. The 
functions as allowed by the standards, there would be only one RRSIG RR. 
• All comments and zone file directives ($TTL, $ORIGIN) have been removed and all 
names have been expanded to FQDNs. 
CHAPTER 11 ■ DNSSEC 
329
• The sub.example.com. NS RRs for the zone are not signed with an RRSIG RR 
because these RRs (this is the parent) are not authoritative; they will only be 
authoritative when they appear in the child zone. Only authoritative RRs are 
signed. However, they have an NSEC RR that is signed. The NSEC RRs are present 
because the name sub.example.com. is part of the name space of this zone and 
thus must provide PNE. 
• 
associated RRSIG RR) is defined by the nx value of the SOA RR in the original zone 
file because NSEC RRs are only used with negative (NXDOMAIN) responses, 
therefore the negative caching value applies. 
• The glue AA RRs for the subdomain (ns3.sub.example.com and 
ns4.sub.example.com) have neither a RRSIG RR nor a NSEC RR because they are 
neither authoritative (for the same reason as the NS RRs for sub.example.com) nor 
do they form part of the name space of this zone and therefore require no PNE 
(which is generated by NSEC RRs).  
Finally, every RRSIG RR has a start time (the time after which it is regarded as being valid) that 
begins at the Universal Coordinated Time (UTC) minus 1 hour (to allow for clock skew) corresponding to 
the local run time of the dnssec-signzone utility and will expire 30 days after its start time—these are the 
dnssec-signzone utility defaults. The utility run time (UCT) is always included as a comment on the first 
line of the file; the expiry and start times are respectively the fourth and fifth parameters after the RRSIG 
type value (see also Chapter 13). If the zone file is not re-signed before the value defined by the expiry 
time is reached (in this case 20110118013101, or 18th January 2011 at 1:31:01 a.m. UCT), a validating 
resolver will discard any data from the zone as being bogus (invalid); paradoxically, a security oblivious 
name server will continue to receive the data successfully. Signing a zone always introduces an element 
of time that is not present in an unsigned zone file and requires periodic maintenance of the zone file. 
The next section will look at the implications of re-signing as well as other aspects of secure zone 
maintenance, including the essential topic of changing keys by what is called in the jargon key rollover
 Note It is worth pointing out that NSEC RRs are the subject of some controversy since, as a side effect of their 
purpose, they have the capability of “walking” or enumerating the zone file. By simply following the NSEC chain for 
any zone, a user can find all the entries in that zone. Some users find this behavior unacceptable, since it speeds 
up a process that would otherwise require exhaustive search of the zone. An alternative form of NSEC RR, called 
NSEC3, avoids this problem and is described in the “DNSSEC Enhancements” section later in the chapter. 
Secure Zone Maintenance 
Re-signing a zone involves simply rerunning the original dnssec-signzone utility using either the original 
zone file or the currently signed version of it. Secure zone files need to be re-signed for three reasons: 
• When any change is made to the zone records: In the insecure world, changes were 
indicated simply by updating the SOA RR serial number; in the world of DNSSEC, 
whenever a change is made to the zone file, the SOA serial number needs to be 
updated and the zone needs to be re-signed. The issue of dynamic update (DDNS) 
and re-signing is discussed later in the chapter. 
Documents you may be interested
Documents you may be interested