Aller au contenu principal

8. Zone Considerations (Considérations sur les zones)

Il existe plusieurs différences entre les zones signées et non signées. Une zone signée contiendra des enregistrements supplémentaires liés à la sécurité (enregistrements RRSIG, DNSKEY, DS et NSEC). Les enregistrements RRSIG et NSEC peuvent être générés par un processus de signature avant de servir la zone. Les enregistrements RRSIG qui accompagnent les données de zone ont des temps de début et d'expiration définis qui établissent une période de validité pour les signatures et les données de zone que les signatures couvrent.

8.1. TTL Values vs. RRSIG Validity Period (Valeurs TTL vs. période de validité RRSIG)

Il est important de noter la distinction entre la valeur TTL d'un RRset et la période de validité de signature spécifiée par le RR RRSIG couvrant ce RRset. DNSSEC ne change pas la définition ou la fonction de la valeur TTL, qui est destinée à maintenir la cohérence de la base de données dans les caches. Un résolveur de mise en cache purge les RRset de son cache au plus tard à la fin de la période spécifiée par les champs TTL de ces RRset, que le résolveur soit conscient de la sécurité ou non.

Les champs de début et d'expiration dans le RR RRSIG ([RFC4034]), en revanche, spécifient la période pendant laquelle la signature peut être utilisée pour valider le RRset couvert. Les signatures associées aux données de zone signées ne sont valides que pendant la période spécifiée par ces champs dans les RR RRSIG en question. Les valeurs TTL ne peuvent pas étendre la période de validité des RRset signés dans le cache d'un résolveur, mais le résolveur peut utiliser le temps restant avant l'expiration de la période de validité de signature d'un RRset signé comme limite supérieure pour le TTL du RRset signé et de son RR RRSIG associé dans le cache du résolveur.

8.2. New Temporal Dependency Issues for Zones (Nouveaux problèmes de dépendance temporelle pour les zones)

Les informations dans une zone signée ont une dépendance temporelle qui n'existait pas dans le protocole DNS original. Une zone signée nécessite un entretien régulier pour garantir que chaque RRset dans la zone a un RR RRSIG actuellement valide. La période de validité de signature d'un RR RRSIG est un intervalle pendant lequel la signature pour un RRset signé particulier peut être considérée comme valide, et les signatures de différents RRset dans une zone peuvent expirer à des moments différents. Re-signer un ou plusieurs RRset dans une zone changera un ou plusieurs RR RRSIG, ce qui nécessitera à son tour d'incrémenter le numéro de série SOA de la zone pour indiquer qu'un changement de zone s'est produit et de re-signer le RRset SOA lui-même. Ainsi, re-signer n'importe quel RRset dans une zone peut également déclencher des messages DNS NOTIFY et des opérations de transfert de zone.

Dernière mise à jour le