9. Name Server Considerations (Considérations sur les serveurs de noms)

Un serveur de noms conscient de la sécurité doit inclure les enregistrements DNSSEC appropriés (RRSIG, DNSKEY, DS et NSEC) dans toutes les réponses aux requêtes des résolveurs qui ont signalé leur volonté de recevoir de tels enregistrements via l'utilisation du bit DO dans l'en-tête EDNS, sous réserve des limitations de taille de message. Parce que l'inclusion de ces RR DNSSEC peut facilement provoquer une troncature de message UDP et un repli sur TCP, un serveur de noms conscient de la sécurité doit également prendre en charge le mécanisme EDNS "sender's UDP payload".

Si possible, la moitié privée de chaque paire de clés DNSSEC doit être conservée hors ligne, mais cela ne sera pas possible pour une zone pour laquelle la mise à jour dynamique DNS a été activée. Dans le cas de mise à jour dynamique, le serveur maître primaire de la zone devra re-signer la zone lorsqu'elle est mise à jour, donc la clé privée correspondant à la clé de signature de zone devra être conservée en ligne. C'est un exemple de situation où la capacité de séparer le RRset DNSKEY de la zone en clé(s) de signature de zone et clé(s) de signature de clé peut être utile, car la ou les clés de signature de clé dans un tel cas peuvent toujours être conservées hors ligne et peuvent avoir une durée de vie utile plus longue que la ou les clés de signature de zone.

DNSSEC seul ne suffit pas à protéger l'intégrité d'une zone entière pendant les opérations de transfert de zone, car même une zone signée contient des données non autoritaires non signées si la zone a des enfants. Par conséquent, les opérations de maintenance de zone nécessiteront des mécanismes supplémentaires (très probablement une forme de sécurité de canal, telle que TSIG, SIG(0) ou IPsec).