Zum Hauptinhalt springen

8. Zone Considerations (Zonen-Überlegungen)

Es gibt mehrere Unterschiede zwischen signierten und unsignierten Zonen. Eine signierte Zone enthält zusätzliche sicherheitsbezogene Einträge (RRSIG-, DNSKEY-, DS- und NSEC-Einträge). RRSIG- und NSEC-Einträge können durch einen Signierungsprozess vor dem Bereitstellen der Zone generiert werden. Die RRSIG-Einträge, die Zonendaten begleiten, haben definierte Anfangs- und Ablaufzeiten, die einen Gültigkeitszeitraum für die Signaturen und die von den Signaturen abgedeckten Zonendaten festlegen.

8.1. TTL Values vs. RRSIG Validity Period (TTL-Werte vs. RRSIG-Gültigkeitsdauer)

Es ist wichtig, den Unterschied zwischen dem TTL-Wert eines RRset und dem durch den RRSIG-RR, der dieses RRset abdeckt, spezifizierten Signaturgültigkeitszeitraum zu beachten. DNSSEC ändert nicht die Definition oder Funktion des TTL-Werts, der dazu bestimmt ist, die Datenbankkonsistenz in Caches aufrechtzuerhalten. Ein Caching-Resolver löscht RRsets aus seinem Cache spätestens am Ende des durch die TTL-Felder dieser RRsets spezifizierten Zeitraums, unabhängig davon, ob der Resolver sicherheitsbewusst ist oder nicht.

Die Anfangs- und Ablauffelder im RRSIG-RR ([RFC4034]) hingegen spezifizieren den Zeitraum, während dessen die Signatur zur Validierung des abgedeckten RRset verwendet werden kann. Die mit signierten Zonendaten verbundenen Signaturen sind nur für den durch diese Felder in den betreffenden RRSIG-RRs spezifizierten Zeitraum gültig. TTL-Werte können den Gültigkeitszeitraum signierter RRsets im Cache eines Resolvers nicht verlängern, aber der Resolver kann die verbleibende Zeit bis zum Ablauf des Signaturgültigkeitszeitraums eines signierten RRset als Obergrenze für die TTL des signierten RRset und seines zugehörigen RRSIG-RR im Cache des Resolvers verwenden.

8.2. New Temporal Dependency Issues for Zones (Neue zeitliche Abhängigkeitsprobleme für Zonen)

Informationen in einer signierten Zone haben eine zeitliche Abhängigkeit, die im ursprünglichen DNS-Protokoll nicht existierte. Eine signierte Zone erfordert regelmäßige Wartung, um sicherzustellen, dass jedes RRset in der Zone einen aktuell gültigen RRSIG-RR hat. Der Signaturgültigkeitszeitraum eines RRSIG-RR ist ein Intervall, während dessen die Signatur für ein bestimmtes signiertes RRset als gültig betrachtet werden kann, und die Signaturen verschiedener RRsets in einer Zone können zu verschiedenen Zeiten ablaufen. Das erneute Signieren eines oder mehrerer RRsets in einer Zone ändert einen oder mehrere RRSIG-RRs, was wiederum das Inkrementieren der SOA-Seriennummer der Zone erfordert, um anzuzeigen, dass eine Zonenänderung stattgefunden hat, und das erneute Signieren des SOA-RRset selbst. Daher kann das erneute Signieren eines beliebigen RRset in einer Zone auch DNS-NOTIFY-Nachrichten und Zonentransferoperationen auslösen.

Letztes Update am