9. Resolver Considerations (Hinweise für Resolver)

9.1. NSEC3 Resource Record Caching (Caching von NSEC3-Ressourcendatensätzen)

Caching-Resolver (Caching resolvers) MÜSSEN in der Lage sein, bei der Rückgabe von Antworten mit NSEC3 RRs die passenden NSEC3 RRs abzurufen. In DNSSEC [RFC4035] kann der richtige NSEC RR für viele Fälle über den Namen gefunden werden (z. B. ist bei Verweisen der NSEC RR stets mit derselben Owner-Name wie die Delegation). Mit dieser Spezifikation ist das nicht mehr der Fall, und der Cache kann den Namen des passenden NSEC3 RR nicht berechnen. Implementierungen können neue Methoden zum Cachen und Abrufen von NSEC3 RRs benötigen.

9.2. Use of the AD Bit (Verwendung des AD-Bits)

Das in [RFC4035] definierte AD-Bit DARF NICHT gesetzt werden, wenn eine Antwort einen Closest-(Provable-)Encloser-Beweis enthält und der NSEC3 RR, der den „next closer“-Namen abdeckt, das Opt-Out-Bit gesetzt hat.

Diese Regel gründet auf dem, was dieser Closest-Encloser-Beweis tatsächlich beweist: Von einem Opt-Out-NSEC3 RR abgedeckte Namen können existieren oder nicht als unsichere Delegation. Daher ist in Antworten mit einem solchen Closest-Encloser-Beweis nicht alle Daten kryptographisch verifiziert, und das AD-Bit kann nicht gesetzt werden.