6. Resolver Considerations (Considerazioni sui resolver)

Un resolver consapevole della sicurezza deve essere in grado di eseguire le funzioni crittografiche necessarie per verificare le firme digitali utilizzando almeno l'algoritmo/gli algoritmi obbligatori da implementare. I resolver consapevoli della sicurezza devono anche essere in grado di formare una catena di autenticazione da una zona appena appresa fino a una chiave di autenticazione, come descritto sopra. Questo processo potrebbe richiedere query aggiuntive a zone DNS intermedie per ottenere i record DNSKEY, DS e RRSIG necessari. Un resolver consapevole della sicurezza dovrebbe essere configurato con almeno un'ancora di fiducia come punto di partenza da cui tenterà di stabilire catene di autenticazione.

Se un resolver consapevole della sicurezza è separato dai name server autoritativi rilevanti da un name server ricorsivo o da qualsiasi tipo di dispositivo intermediario che agisce come proxy per DNS, e se il name server ricorsivo o il dispositivo intermediario non è consapevole della sicurezza, il resolver consapevole della sicurezza potrebbe non essere in grado di operare in modalità sicura. Ad esempio, se i pacchetti di un resolver consapevole della sicurezza vengono instradati attraverso un dispositivo di traduzione degli indirizzi di rete (network address translation, NAT) che include un proxy DNS che non è consapevole della sicurezza, il resolver consapevole della sicurezza potrebbe trovare difficile o impossibile ottenere o convalidare dati DNS firmati. Il resolver consapevole della sicurezza potrebbe avere difficoltà particolari nell'ottenere RR DS in un tale caso, poiché i RR DS non seguono le solite regole DNS per la proprietà dei RR ai tagli di zona. Si noti che questo problema non è specifico dei NAT: qualsiasi software DNS non consapevole della sicurezza di qualsiasi tipo tra il resolver consapevole della sicurezza e i name server autoritativi interferirà con DNSSEC.

Se un resolver consapevole della sicurezza deve fare affidamento su una zona non firmata o su un name server che non è consapevole della sicurezza, il resolver potrebbe non essere in grado di convalidare le risposte DNS e avrà bisogno di una politica locale sul fatto di accettare o meno risposte non verificate.

Un resolver consapevole della sicurezza dovrebbe prendere in considerazione il periodo di validità della firma nella determinazione del TTL dei dati nella sua cache, per evitare di memorizzare nella cache dati firmati oltre il periodo di validità della firma. Tuttavia, dovrebbe anche considerare la possibilità che l'orologio del resolver consapevole della sicurezza stesso possa essere sbagliato. Pertanto, un resolver consapevole della sicurezza che fa parte di un name server ricorsivo consapevole della sicurezza dovrà prestare particolare attenzione al bit DNSSEC "checking disabled" (CD) ([RFC4034]). Questo per evitare di bloccare il passaggio di firme valide ad altri resolver consapevoli della sicurezza che sono client di questo name server ricorsivo. Vedere [RFC4035] per come un server ricorsivo sicuro gestisce le query con il bit CD impostato.