Aller au contenu principal

5. Problèmes Possibles (Possible Issues)

Supposons que le domaine de premier niveau (TLD) example existe, mais que foobar.example n'est pas délégué (donc les serveurs de noms de example répondront NXDOMAIN pour une requête concernant anything.foobar.example). Un administrateur système décide de nommer les machines internes de son organisation sous office.foobar.example et utilise une astuce de son résolveur pour transférer les requêtes concernant cette zone vers ses serveurs de noms faisant autorité locaux. La "coupure NXDOMAIN" créerait des problèmes ici ; selon l'ordre des requêtes au résolveur, il peut avoir mis en cache la non-existence depuis example et donc "supprimé" tout ce qui se trouve en dessous. Ce document suppose qu'une telle configuration est rare et n'a pas besoin d'être prise en charge.

Let's assume that the Top-Level Domain (TLD) example exists, but foobar.example is not delegated (so the example's name servers will reply NXDOMAIN for a query about anything.foobar.example). A system administrator decides to name the internal machines of his organization under office.foobar.example and uses a trick of his resolver to forward requests about this zone to his local authoritative name servers. "NXDOMAIN cut" would create problems here; depending on the order of requests to the resolver, it may have cached the nonexistence from example and therefore "deleted" everything under it. This document assumes that such a setup is rare and does not need to be supported.

Aujourd'hui, un autre problème possible existe ; nous voyons des serveurs de noms faisant autorité qui répondent à un ENT ([RFC7719], Section 6) par NXDOMAIN au lieu du NODATA normal ([RFC7719], Section 3).

Today, another possible issue exists; we see authoritative name servers that reply to ENT ([RFC7719], Section 6) with NXDOMAIN instead of the normal NODATA ([RFC7719], Section 3).

De tels serveurs de noms ont définitivement tort et l'ont toujours eu. Leur comportement est incompatible avec DNSSEC. Compte tenu des avantages de la "coupure NXDOMAIN", il y a peu de raisons de soutenir ce comportement.

Such name servers are definitely wrong and have always been. Their behaviour is incompatible with DNSSEC. Given the advantages of "NXDOMAIN cut", there is little reason to support this behavior.

Dernière mise à jour le