Passa al contenuto principale

8. Zone Considerations (Considerazioni sulle zone)

Esistono diverse differenze tra zone firmate e non firmate. Una zona firmata conterrà record aggiuntivi relativi alla sicurezza (record RRSIG, DNSKEY, DS e NSEC). I record RRSIG e NSEC possono essere generati da un processo di firma prima di servire la zona. I record RRSIG che accompagnano i dati di zona hanno tempi di inizio e scadenza definiti che stabiliscono un periodo di validità per le firme e i dati di zona che le firme coprono.

8.1. TTL Values vs. RRSIG Validity Period (Valori TTL vs. periodo di validità RRSIG)

È importante notare la distinzione tra il valore TTL di un RRset e il periodo di validità della firma specificato dal RR RRSIG che copre tale RRset. DNSSEC non cambia la definizione o la funzione del valore TTL, che è destinato a mantenere la coerenza del database nelle cache. Un resolver di caching elimina gli RRset dalla sua cache non oltre la fine del periodo di tempo specificato dai campi TTL di tali RRset, indipendentemente dal fatto che il resolver sia consapevole della sicurezza o meno.

I campi di inizio e scadenza nel RR RRSIG ([RFC4034]), d'altra parte, specificano il periodo di tempo durante il quale la firma può essere utilizzata per convalidare l'RRset coperto. Le firme associate ai dati di zona firmati sono valide solo per il periodo di tempo specificato da questi campi nei RR RRSIG in questione. I valori TTL non possono estendere il periodo di validità degli RRset firmati nella cache di un resolver, ma il resolver può utilizzare il tempo rimanente prima della scadenza del periodo di validità della firma di un RRset firmato come limite superiore per il TTL dell'RRset firmato e del suo RR RRSIG associato nella cache del resolver.

8.2. New Temporal Dependency Issues for Zones (Nuovi problemi di dipendenza temporale per le zone)

Le informazioni in una zona firmata hanno una dipendenza temporale che non esisteva nel protocollo DNS originale. Una zona firmata richiede una manutenzione regolare per garantire che ogni RRset nella zona abbia un RR RRSIG attualmente valido. Il periodo di validità della firma di un RR RRSIG è un intervallo durante il quale la firma per un particolare RRset firmato può essere considerata valida, e le firme di diversi RRset in una zona possono scadere in momenti diversi. Firmare nuovamente uno o più RRset in una zona cambierà uno o più RR RRSIG, il che a sua volta richiederà l'incremento del numero di serie SOA della zona per indicare che si è verificato un cambiamento di zona e la firma nuovamente dell'RRset SOA stesso. Pertanto, firmare nuovamente qualsiasi RRset in una zona può anche attivare messaggi DNS NOTIFY e operazioni di trasferimento di zona.

Ultimo aggiornamento il