6. Opt-Out

6. Opt-Out

Nella presente specifica, come in [RFC4033], [RFC4034] e [RFC4035], gli RRSet NS ai punti di delega non sono firmati e possono essere accompagnati da un RRSet DS. Con il bit Opt-Out azzerato, lo stato di sicurezza della zona figlia è determinato dalla presenza o assenza di questo RRSet DS, dimostrato crittograficamente dall'RR NSEC3 firmato al nome del titolare sottoposto a hash della delega. Impostare il flag Opt-Out modifica ciò consentendo che esistano deleghe non sicure all'interno della zona firmata senza un corrispondente RR NSEC3 al nome del titolare sottoposto a hash della delega.

Si dice che un RR NSEC3 Opt-Out copre una delega se l'hash del nome del titolare o del nome "next closer" della delega è tra il nome del titolare dell'RR NSEC3 e il nome del titolare sottoposto a hash successivo.

Un RR NSEC3 Opt-Out non asserisce l'esistenza o la non esistenza delle deleghe non sicure che può coprire. Ciò consente l'aggiunta o la rimozione di tali deleghe senza ricalcolare o rifirmare gli RR nella catena di RR NSEC3. Tuttavia gli RR NSEC3 Opt-Out asseriscono la (non) esistenza di altri RRSet autoritativi.

Un RR NSEC3 Opt-Out PUÒ avere lo stesso nome del titolare originale di una delega non sicura. In questo caso la delega è dimostrata non sicura dall'assenza del bit DS nella mappa dei tipi e l'RR NSEC3 firmato asserisce l'esistenza della delega.

Le zone che usano Opt-Out POSSONO contenere una miscela di RR NSEC3 Opt-Out e RR NSEC3 non Opt-Out. Se un RR NSEC3 non è Opt-Out, NON DEVE esserci alcun nome del titolare sottoposto a hash di deleghe non sicure (né alcun altro RR) tra esso e il nome indicato dal nome del titolare sottoposto a hash successivo nel RDATA dell'NSEC3. Se è Opt-Out, DEVE coprire solo nomi del titolare sottoposti a hash o nomi "next closer" sottoposti a hash di deleghe non sicure.

Gli effetti del flag Opt-Out sulla firma, sull'erogazione e sulla convalida delle risposte sono trattati nelle sezioni seguenti.