9. Name Server Considerations (Considerazioni sui name server)

Un name server consapevole della sicurezza dovrebbe includere i record DNSSEC appropriati (RRSIG, DNSKEY, DS e NSEC) in tutte le risposte alle query dai resolver che hanno segnalato la loro volontà di ricevere tali record tramite l'uso del bit DO nell'intestazione EDNS, soggetto a limitazioni di dimensione dei messaggi. Poiché l'inclusione di questi RR DNSSEC può facilmente causare il troncamento dei messaggi UDP e il ripiegamento su TCP, un name server consapevole della sicurezza deve anche supportare il meccanismo EDNS "sender's UDP payload".

Se possibile, la metà privata di ogni coppia di chiavi DNSSEC dovrebbe essere mantenuta offline, ma questo non sarà possibile per una zona per la quale è stato abilitato l'aggiornamento dinamico DNS. Nel caso di aggiornamento dinamico, il server master primario della zona dovrà firmare nuovamente la zona quando viene aggiornata, quindi la chiave privata corrispondente alla chiave di firma della zona dovrà essere mantenuta online. Questo è un esempio di situazione in cui la capacità di separare l'RRset DNSKEY della zona in chiave/i di firma della zona e chiave/i di firma della chiave può essere utile, poiché la o le chiavi di firma della chiave in un tale caso possono ancora essere mantenute offline e possono avere una vita utile più lunga rispetto alla o alle chiavi di firma della zona.

DNSSEC da solo non è sufficiente per proteggere l'integrità di un'intera zona durante le operazioni di trasferimento di zona, poiché anche una zona firmata contiene alcuni dati non autoritativi non firmati se la zona ha dei figli. Pertanto, le operazioni di manutenzione della zona richiederanno alcuni meccanismi aggiuntivi (molto probabilmente una qualche forma di sicurezza del canale, come TSIG, SIG(0) o IPsec).