5. Mögliche Probleme (Possible Issues)

Nehmen wir an, dass die Top-Level-Domain (TLD) example existiert, aber foobar.example nicht delegiert ist (so dass die Nameserver von example mit NXDOMAIN auf eine Anfrage für anything.foobar.example antworten). Ein Systemadministrator beschließt, die internen Maschinen seiner Organisation unter office.foobar.example zu benennen und verwendet einen Trick seines Resolvers, um Anfragen für diese Zone an seine lokalen autoritativen Nameserver weiterzuleiten. "NXDOMAIN-Cut" würde hier Probleme verursachen; abhängig von der Reihenfolge der Anfragen an den Resolver hat dieser möglicherweise die Nichtexistenz von example zwischengespeichert und daher alles darunter "gelöscht". Dieses Dokument geht davon aus, dass eine solche Konfiguration selten ist und nicht unterstützt werden muss.

Let's assume that the Top-Level Domain (TLD) example exists, but foobar.example is not delegated (so the example's name servers will reply NXDOMAIN for a query about anything.foobar.example). A system administrator decides to name the internal machines of his organization under office.foobar.example and uses a trick of his resolver to forward requests about this zone to his local authoritative name servers. "NXDOMAIN cut" would create problems here; depending on the order of requests to the resolver, it may have cached the nonexistence from example and therefore "deleted" everything under it. This document assumes that such a setup is rare and does not need to be supported.

Heute existiert ein weiteres mögliches Problem; wir sehen autoritative Nameserver, die auf ENT ([RFC7719], Abschnitt 6) mit NXDOMAIN anstelle des normalen NODATA ([RFC7719], Abschnitt 3) antworten.

Today, another possible issue exists; we see authoritative name servers that reply to ENT ([RFC7719], Section 6) with NXDOMAIN instead of the normal NODATA ([RFC7719], Section 3).

Solche Nameserver sind definitiv falsch und waren es schon immer. Ihr Verhalten ist inkompatibel mit DNSSEC. Angesichts der Vorteile von "NXDOMAIN-Cut" gibt es wenig Grund, dieses Verhalten zu unterstützen.

Such name servers are definitely wrong and have always been. Their behaviour is incompatible with DNSSEC. Given the advantages of "NXDOMAIN cut", there is little reason to support this behavior.