6. Zone Cuts (Tagli di zona)
L'albero DNS è diviso in « zone », che sono raccolte di domini trattati come un'unità per determinati scopi di gestione. Le zone sono delimitate da « tagli di zona » (zone cuts). Ogni taglio di zona separa una zona « figlia » (sotto il taglio) da una zona « genitore » (sopra il taglio). Il nome di dominio che appare in cima a una zona (appena sotto il taglio che separa la zona dal suo genitore) è chiamato « origine » (origin) della zona. Il nome della zona è lo stesso del nome del dominio all'origine della zona. Ogni zona comprende quel sottoinsieme dell'albero DNS che si trova all'origine della zona o sotto di essa, e che è sopra i tagli che separano la zona dai suoi figli (se presenti). L'esistenza di un taglio di zona è indicata nella zona genitore dall'esistenza di record NS che specificano l'origine della zona figlia. Una zona figlia non contiene alcun riferimento esplicito al suo genitore.
6.1. Zone authority (Autorità di zona)
I server autoritativi per una zona sono enumerati nei record NS per l'origine della zona, che, insieme a un record Start of Authority (SOA), sono i record obbligatori in ogni zona. Tale server è autoritativo per tutti i record di risorse in una zona che non sono in un'altra zona. I record NS che indicano un taglio di zona sono proprietà della zona figlia creata, così come tutti gli altri record per l'origine di quella zona figlia, o qualsiasi sottodominio di essa. Un server per una zona non dovrebbe restituire risposte autoritativ per query relative a nomi in un'altra zona, il che include i record NS, e forse A, a un taglio di zona, a meno che non sia anche un server per l'altra zona.
Ad eccezione dei casi DNSSEC menzionati immediatamente di seguito, i server dovrebbero ignorare i dati diversi dai record NS e dai record A necessari per localizzare i server elencati nei record NS, che potrebbero essere configurati in una zona a un taglio di zona.
6.2. DNSSEC issues (Problemi DNSSEC)
I meccanismi di sicurezza DNS [RFC2065] complicano questo in qualche modo, poiché alcuni dei nuovi tipi di record di risorse aggiunti sono molto insoliti rispetto ad altri RR DNS. In particolare, il tipo RR NXT (« next ») contiene informazioni su quali nomi esistono in una zona, e quindi quali non esistono, e quindi deve necessariamente riferirsi alla zona in cui esiste. Lo stesso nome di dominio può avere record NXT diversi nella zona genitore e nella zona figlia, ed entrambi sono validi e non formano un RRSet. Vedere anche la sezione 5.3.2.
Poiché i record NXT sono destinati ad essere generati automaticamente, piuttosto che configurati dagli operatori DNS, i server possono, ma non sono tenuti a, mantenere tutti i diversi record NXT che ricevono indipendentemente dalle regole della sezione 5.4.
Perché una zona genitore sicura indichi in modo sicuro che una sottozona è insicura, DNSSEC richiede che un KEY RR che indica che la sottozona è insicura, e i SIG RR autenticanti della zona genitore siano presenti nella zona genitore, poiché per definizione non possono essere nella sottozona. Quando una sottozona è sicura, i record KEY e SIG saranno presenti e autoritativi in quella zona, ma dovrebbero anche essere sempre presenti nella zona genitore (se sicura).
Si noti che in nessuno di questi casi un server per la zona genitore, che non sia anche un server per la sottozona, dovrebbe impostare il bit AA in alcuna risposta per un'etichetta a un taglio di zona.