9. Resolver Considerations

9.1. NSEC3 Resource Record Caching

Les résolveurs de mise en cache DOIVENT pouvoir récupérer les RR NSEC3 appropriés lorsqu'ils renvoient des réponses qui en contiennent. Dans DNSSEC [RFC4035], il est souvent possible de trouver le bon RR NSEC à renvoyer par le nom (par exemple, pour une référence, le RR NSEC a le même nom de titulaire que la délégation). Avec cette spécification, ce ne sera plus le cas, et un cache ne pourra pas calculer le ou les noms des RR NSEC3 appropriés. Les implémentations peuvent devoir adopter de nouvelles méthodes pour mettre en cache et récupérer les RR NSEC3.

9.2. Use of the AD Bit

Le bit AD défini dans [RFC4035] NE DOIT PAS être positionné lors du renvoi d'une réponse contenant une preuve d'encloser le plus proche (prouvable) dans laquelle le RR NSEC3 couvrant le nom « next closer » a le bit Opt-Out positionné.

Cette règle reflète ce que prouve réellement cette preuve : les noms qui seraient couverts par le RR NSEC3 Opt-Out peuvent ou non exister comme délégations non sécurisées. Toutes les données de telles réponses n'ont donc pas été vérifiées cryptographiquement, et le bit AD ne peut pas être positionné.