6. Resolver Considerations (Resolver-Überlegungen)

Ein sicherheitsbewusster Resolver muss in der Lage sein, die für die Überprüfung digitaler Signaturen erforderlichen kryptografischen Funktionen unter Verwendung mindestens des/der obligatorisch zu implementierenden Algorithmus/Algorithmen auszuführen. Sicherheitsbewusste Resolver müssen auch in der Lage sein, wie oben beschrieben eine Authentifizierungskette von einer neu gelernten Zone zurück zu einem Authentifizierungsschlüssel zu bilden. Dieser Prozess kann zusätzliche Abfragen an Zwischen-DNS-Zonen erfordern, um die erforderlichen DNSKEY-, DS- und RRSIG-Einträge zu erhalten. Ein sicherheitsbewusster Resolver sollte mit mindestens einem Vertrauensanker als Ausgangspunkt konfiguriert werden, von dem aus er versucht, Authentifizierungsketten einzurichten.

Wenn ein sicherheitsbewusster Resolver durch einen rekursiven Nameserver oder durch irgendeine Art von zwischengeschaltetem Gerät, das als Proxy für DNS fungiert, von den relevanten autoritativen Nameservern getrennt ist, und wenn der rekursive Nameserver oder das zwischengeschaltete Gerät nicht sicherheitsbewusst ist, ist der sicherheitsbewusste Resolver möglicherweise nicht in der Lage, im sicheren Modus zu arbeiten. Wenn beispielsweise die Pakete eines sicherheitsbewussten Resolvers über ein Network Address Translation (NAT)-Gerät geleitet werden, das einen DNS-Proxy enthält, der nicht sicherheitsbewusst ist, kann der sicherheitsbewusste Resolver Schwierigkeiten haben oder nicht in der Lage sein, signierte DNS-Daten zu erhalten oder zu validieren. Der sicherheitsbewusste Resolver kann in einem solchen Fall besondere Schwierigkeiten haben, DS-RRs zu erhalten, da DS-RRs nicht den üblichen DNS-Regeln für den Besitz von RRs an Zonenschnitten folgen. Beachten Sie, dass dieses Problem nicht spezifisch für NATs ist: jede sicherheitsbewusste DNS-Software jeglicher Art zwischen dem sicherheitsbewussten Resolver und den autoritativen Nameservern wird DNSSEC beeinträchtigen.

Wenn ein sicherheitsbewusster Resolver auf eine unsignierte Zone oder einen Nameserver angewiesen sein muss, der nicht sicherheitsbewusst ist, ist der Resolver möglicherweise nicht in der Lage, DNS-Antworten zu validieren, und benötigt eine lokale Richtlinie, ob nicht verifizierte Antworten akzeptiert werden sollen.

Ein sicherheitsbewusster Resolver sollte die Gültigkeitsdauer der Signatur bei der Bestimmung der TTL der Daten in seinem Cache berücksichtigen, um das Caching signierter Daten über die Gültigkeitsdauer der Signatur hinaus zu vermeiden. Er sollte jedoch auch die Möglichkeit berücksichtigen, dass die eigene Uhr des sicherheitsbewussten Resolvers falsch sein könnte. Daher muss ein sicherheitsbewusster Resolver, der Teil eines sicherheitsbewussten rekursiven Nameservers ist, besonders auf das DNSSEC "Checking Disabled" (CD)-Bit ([RFC4034]) achten. Dies dient dazu, zu vermeiden, dass gültige Signaturen daran gehindert werden, andere sicherheitsbewusste Resolver zu erreichen, die Clients dieses rekursiven Nameservers sind. Siehe [RFC4035] dazu, wie ein sicherer rekursiver Server Abfragen mit gesetztem CD-Bit behandelt.