Zum Hauptinhalt springen

2. Anforderungen

Um den in diesem Dokument beschriebenen Mechanismus zu implementieren:

  • Das System MUSS in der Lage sein, jeden signierten Datensatz in einer Zone mit DNSSEC [RFC4033] zu validieren.

  • Das System MUSS über eine aktuelle Kopie des öffentlichen Teils des Key Signing Key (KSK) [RFC4033] verfügen, der zum Signieren der DNS-Root verwendet wird.

  • Das System MUSS in der Lage sein, eine Kopie der gesamten Root-Zone (einschließlich aller DNSSEC-bezogenen Datensätze) abzurufen.

  • Das System MUSS in der Lage sein, einen autoritativen Dienst für die Root-Zone auf demselben Host auszuführen.

Eine Folge der obigen Liste ist, dass die autoritativen Daten in der Root-Zone, die auf dem lokalen autoritativen Server verwendet werden, identisch mit denselben Daten in der Root-Zone für das DNS sein MÜSSEN. Es ist möglich, die nicht signierten Daten (die Glue Records) in der Kopie der Root-Zone zu ändern, aber solche Änderungen könnten Probleme für den rekursiven Server verursachen, der auf die lokale Root-Zone zugreift, und daher SOLLTEN keine Änderungen an den Glue Records vorgenommen werden.

Letztes Update am