6. Resolver Considerations (Considérations sur les résolveurs)
Un résolveur conscient de la sécurité doit être capable d'effectuer les fonctions cryptographiques nécessaires pour vérifier les signatures numériques en utilisant au moins le(s) algorithme(s) obligatoire(s) à implémenter. Les résolveurs conscients de la sécurité doivent également être capables de former une chaîne d'authentification à partir d'une zone nouvellement apprise jusqu'à une clé d'authentification, comme décrit ci-dessus. Ce processus peut nécessiter des requêtes supplémentaires vers des zones DNS intermédiaires pour obtenir les enregistrements DNSKEY, DS et RRSIG nécessaires. Un résolveur conscient de la sécurité doit être configuré avec au moins une ancre de confiance comme point de départ à partir duquel il tentera d'établir des chaînes d'authentification.
Si un résolveur conscient de la sécurité est séparé des serveurs de noms autoritaires pertinents par un serveur de noms récursif ou par tout type de dispositif intermédiaire qui agit comme un proxy pour DNS, et si le serveur de noms récursif ou le dispositif intermédiaire n'est pas conscient de la sécurité, le résolveur conscient de la sécurité peut ne pas être capable de fonctionner en mode sécurisé. Par exemple, si les paquets d'un résolveur conscient de la sécurité sont acheminés via un dispositif de traduction d'adresses réseau (network address translation, NAT) qui inclut un proxy DNS qui n'est pas conscient de la sécurité, le résolveur conscient de la sécurité peut trouver difficile ou impossible d'obtenir ou de valider des données DNS signées. Le résolveur conscient de la sécurité peut avoir des difficultés particulières à obtenir des RR DS dans un tel cas, car les RR DS ne suivent pas les règles DNS habituelles de propriété des RR aux coupures de zone. Notez que ce problème n'est pas spécifique aux NAT: tout logiciel DNS non conscient de la sécurité de quelque nature que ce soit entre le résolveur conscient de la sécurité et les serveurs de noms autoritaires interférera avec DNSSEC.
Si un résolveur conscient de la sécurité doit s'appuyer sur une zone non signée ou un serveur de noms qui n'est pas conscient de la sécurité, le résolveur peut ne pas être capable de valider les réponses DNS et aura besoin d'une politique locale pour décider d'accepter ou non les réponses non vérifiées.
Un résolveur conscient de la sécurité doit prendre en compte la période de validité de la signature lors de la détermination du TTL des données dans son cache, afin d'éviter de mettre en cache des données signées au-delà de la période de validité de la signature. Cependant, il doit également tenir compte de la possibilité que l'horloge du résolveur conscient de la sécurité soit erronée. Ainsi, un résolveur conscient de la sécurité qui fait partie d'un serveur de noms récursif conscient de la sécurité devra faire très attention au bit "checking disabled" (CD) DNSSEC ([RFC4034]). Ceci afin d'éviter de bloquer les signatures valides pour qu'elles atteignent d'autres résolveurs conscients de la sécurité qui sont des clients de ce serveur de noms récursif. Voir [RFC4035] pour savoir comment un serveur récursif sécurisé gère les requêtes avec le bit CD activé.