Aller au contenu principal

6. Zone Cuts (Coupures de zone)

L'arbre DNS est divisé en « zones », qui sont des collections de domaines traités comme une unité à certaines fins de gestion. Les zones sont délimitées par des « coupures de zone » (zone cuts). Chaque coupure de zone sépare une zone « enfant » (sous la coupure) d'une zone « parent » (au-dessus de la coupure). Le nom de domaine qui apparaît au sommet d'une zone (juste en dessous de la coupure qui sépare la zone de son parent) est appelé « l'origine » (origin) de la zone. Le nom de la zone est le même que le nom du domaine à l'origine de la zone. Chaque zone comprend le sous-ensemble de l'arbre DNS qui est à l'origine de la zone ou en dessous, et qui est au-dessus des coupures qui séparent la zone de ses enfants (le cas échéant). L'existence d'une coupure de zone est indiquée dans la zone parent par l'existence d'enregistrements NS spécifiant l'origine de la zone enfant. Une zone enfant ne contient aucune référence explicite à son parent.

6.1. Zone authority (Autorité de zone)

Les serveurs autoritaires pour une zone sont énumérés dans les enregistrements NS de l'origine de la zone, qui, avec un enregistrement Start of Authority (SOA), sont les enregistrements obligatoires dans chaque zone. Un tel serveur est autoritaire pour tous les enregistrements de ressources dans une zone qui ne sont pas dans une autre zone. Les enregistrements NS qui indiquent une coupure de zone sont la propriété de la zone enfant créée, tout comme tous les autres enregistrements pour l'origine de cette zone enfant, ou tout sous-domaine de celle-ci. Un serveur pour une zone ne devrait pas retourner de réponses autoritaires pour les requêtes liées aux noms dans une autre zone, ce qui inclut les enregistrements NS, et peut-être A, à une coupure de zone, à moins qu'il ne soit également un serveur pour l'autre zone.

À l'exception des cas DNSSEC mentionnés immédiatement ci-dessous, les serveurs devraient ignorer les données autres que les enregistrements NS, et les enregistrements A nécessaires pour localiser les serveurs listés dans les enregistrements NS, qui pourraient être configurées dans une zone à une coupure de zone.

6.2. DNSSEC issues (Problèmes DNSSEC)

Les mécanismes de sécurité DNS [RFC2065] compliquent quelque peu cela, car certains des nouveaux types d'enregistrements de ressources ajoutés sont très inhabituels par rapport aux autres RR DNS. En particulier, le type RR NXT (« next ») contient des informations sur les noms qui existent dans une zone, et donc ceux qui n'existent pas, et doit donc nécessairement se rapporter à la zone dans laquelle il existe. Le même nom de domaine peut avoir des enregistrements NXT différents dans la zone parent et la zone enfant, et les deux sont valides, et ne forment pas un RRSet. Voir également la section 5.3.2.

Étant donné que les enregistrements NXT sont destinés à être générés automatiquement, plutôt que configurés par les opérateurs DNS, les serveurs peuvent, mais ne sont pas tenus de, conserver tous les enregistrements NXT différents qu'ils reçoivent indépendamment des règles de la section 5.4.

Pour qu'une zone parent sécurisée indique de manière sûre qu'une subzone est non sécurisée, DNSSEC exige qu'un KEY RR indiquant que la subzone est non sécurisée, et le(s) SIG RR d'authentification de la zone parent soient présents dans la zone parent, car par définition ils ne peuvent pas être dans la subzone. Lorsqu'une subzone est sécurisée, les enregistrements KEY et SIG seront présents et autoritaires dans cette zone, mais devraient également toujours être présents dans la zone parent (si elle est sécurisée).

Notez que dans aucun de ces cas, un serveur pour la zone parent, n'étant pas également un serveur pour la subzone, ne devrait définir le bit AA dans aucune réponse pour une étiquette à une coupure de zone.

Dernière mise à jour le