9. Name Server Considerations (Nameserver-Überlegungen)

Ein sicherheitsbewusster Nameserver sollte die entsprechenden DNSSEC-Einträge (RRSIG, DNSKEY, DS und NSEC) in alle Antworten auf Abfragen von Resolvern einschließen, die ihre Bereitschaft signalisiert haben, solche Einträge durch Verwendung des DO-Bits im EDNS-Header zu empfangen, vorbehaltlich Nachrichtengrößenbeschränkungen. Da die Einbeziehung dieser DNSSEC-RRs leicht zu UDP-Nachrichtenkürzung und Rückfall auf TCP führen kann, muss ein sicherheitsbewusster Nameserver auch den EDNS "sender's UDP payload"-Mechanismus unterstützen.

Wenn möglich, sollte die private Hälfte jedes DNSSEC-Schlüsselpaares offline gehalten werden, aber dies wird für eine Zone, für die DNS Dynamic Update aktiviert wurde, nicht möglich sein. Im Fall von Dynamic Update muss der primäre Master-Server der Zone die Zone neu signieren, wenn sie aktualisiert wird, sodass der private Schlüssel, der dem Zonensignierungsschlüssel entspricht, online gehalten werden muss. Dies ist ein Beispiel für eine Situation, in der die Fähigkeit, das DNSKEY-RRset der Zone in Zonensignierungsschlüssel und Schlüsselsignierungsschlüssel zu trennen, nützlich sein kann, da die Schlüsselsignierungsschlüssel in einem solchen Fall immer noch offline gehalten werden können und möglicherweise eine längere nützliche Lebensdauer haben als die Zonensignierungsschlüssel.

DNSSEC allein reicht nicht aus, um die Integrität einer gesamten Zone während Zonentransferoperationen zu schützen, da selbst eine signierte Zone einige unsignierte, nicht-autoritative Daten enthält, wenn die Zone Kinder hat. Daher erfordern Zonenwartungsoperationen einige zusätzliche Mechanismen (höchstwahrscheinlich eine Form von Kanalsicherheit, wie TSIG, SIG(0) oder IPsec).