3.1. Handling Resolution Failures (Behandlung von Auflösungsfehlern)

Wenn DNS-Antworten kryptographisch geschützt sind (z.B. mit DNSSEC oder TLS [DoT] [DoH]) und die SVCB-Auflösung aufgrund eines Authentifizierungsfehlers, einer SERVFAIL-Antwort, eines Transportfehlers oder einer Zeitüberschreitung fehlschlägt, SOLLTE (SHOULD) der Client seinen Versuch, den Dienst zu erreichen, aufgeben, auch wenn der Client SVCB-optional ist. Andernfalls könnte ein aktiver Angreifer einen Downgrade-Angriff durchführen, indem er dem Benutzer den Zugriff auf die SvcParams verweigert.

Ein SERVFAIL-Fehler kann auftreten, wenn die Domain DNSSEC-signiert ist, der rekursive Resolver DNSSEC-Validierung durchführt und der Angreifer zwischen dem rekursiven Resolver und dem autoritativen DNS-Server liegt. Ein Transportfehler oder eine Zeitüberschreitung kann auftreten, wenn ein aktiver Angreifer zwischen dem Client und dem rekursiven Resolver selektiv SVCB-Abfragen oder -Antworten basierend auf ihrer Größe oder anderen beobachtbaren Mustern verwirft.

Wenn der Client DNSSEC-Validierung für A/AAAA-Antworten erzwingt, SOLLTE (SHOULD) er dieselbe Validierungsrichtlinie auf SVCB anwenden. Andernfalls könnte ein Angreifer den A/AAAA-Schutz durchbrechen, indem er SVCB-Antworten fälscht, die den Client zu anderen IP-Adressen leiten.

Wenn DNS-Antworten nicht kryptographisch geschützt sind, KÖNNEN (MAY) Clients einen SVCB-Auflösungsfehler als fatal oder nicht fatal behandeln.

Wenn der Client aufgrund seiner Kettenlängenbeschränkung die SVCB-Auflösung nicht abschließen kann, MUSS (MUST) der Client auf den Autoritätsendpunkt zurückfallen, als ob der SVCB-Datensatz des Dienstes nicht existiert.