Zum Hauptinhalt springen

6. Opt-Out

6. Opt-Out

In dieser Spezifikation – wie in [RFC4033], [RFC4034] und [RFC4035] – werden NS RRSets an Delegationspunkten nicht signiert und können von einem DS RRSet begleitet sein. Ist das Opt-Out-Bit gelöscht, wird der Sicherheitsstatus der Kindzone durch das Vorhandensein oder Fehlen dieses DS RRSets bestimmt, kryptographisch bewiesen durch den signierten NSEC3 RR am gehashten Owner-Namen der Delegation. Das Setzen des Opt-Out-Flags ändert dies, indem es erlaubt, dass unsichere Delegationen (insecure delegations) innerhalb der signierten Zone ohne entsprechenden NSEC3 RR am gehashten Owner-Namen der Delegation existieren.

Ein Opt-Out-NSEC3 RR „deckt“ eine Delegation ab, wenn der Hash des Owner-Namens oder des „next closer“-Namens der Delegation zwischen dem Owner-Namen des NSEC3 RR und dem nächsten gehashten Owner-Namen liegt.

Ein Opt-Out-NSEC3 RR behauptet weder die Existenz noch die Nichtexistenz der unsicheren Delegationen, die er abdecken kann. Dadurch können diese Delegationen hinzugefügt oder entfernt werden, ohne RRs in der NSEC3-RR-Kette neu zu berechnen oder neu zu signieren. Opt-Out-NSEC3 RRs behaupten jedoch die (Nicht-)Existenz anderer, autorisierender RRSets.

Ein Opt-Out-NSEC3 RR KANN denselben ursprünglichen Owner-Namen wie eine unsichere Delegation haben. In diesem Fall wird die Delegation als unsicher durch das Fehlen eines DS-Bits in der Typ-Bitmap (type map) bewiesen, und der signierte NSEC3 RR behauptet die Existenz der Delegation.

Zonen mit Opt-Out KÖNNEN eine Mischung aus Opt-Out-NSEC3 RRs und Nicht-Opt-Out-NSEC3 RRs enthalten. Ist ein NSEC3 RR kein Opt-Out, DÜRFEN zwischen ihm und dem durch den nächsten gehashten Owner-Namen im NSEC3-RDATA angegebenen Namen keine gehashten Owner-Namen unsicherer Delegationen (noch andere RRs) liegen. Ist er Opt-Out, MUSS er nur gehashte Owner-Namen oder gehashte „next closer“-Namen unsicherer Delegationen abdecken.

Die Auswirkungen des Opt-Out-Flags auf Signierung, Auslieferung und Validierung von Antworten werden in den folgenden Abschnitten behandelt.

Letztes Update am