9. Resolver Considerations (Considerazioni sul resolver)

9.1. NSEC3 Resource Record Caching (Memorizzazione nella cache degli RR NSEC3)

I resolver con cache DEVONO poter recuperare gli RR NSEC3 appropriati quando restituiscono risposte che li contengono. In DNSSEC [RFC4035], in molti casi è possibile trovare il RR NSEC corretto da restituire in una risposta per nome (ad esempio, restituendo un referral, l'RR NSEC avrà sempre lo stesso nome del titolare della delega). Con la presente specifica ciò non sarà vero, né una cache potrà calcolare il nome (o i nomi) degli RR NSEC3 appropriati. Le implementazioni possono aver bisogno di nuovi metodi per memorizzare nella cache e recuperare gli RR NSEC3.

9.2. Use of the AD Bit (Uso del bit AD)

Il bit AD, definito in [RFC4035], NON DEVE essere impostato quando si restituisce una risposta contenente una prova dell'incapsulante (più vicino) dimostrabile in cui l'RR NSEC3 che copre il nome "next closer" ha il bit Opt-Out impostato.

Questa regola si basa su ciò che questa prova dell'incapsulante più vicino dimostra effettivamente: i nomi che sarebbero coperti dall'RR NSEC3 Opt-Out possono esistere o meno come deleghe non sicure. Pertanto non tutti i dati nelle risposte contenenti tali prove dell'incapsulante più vicino saranno stati verificati crittograficamente, quindi il bit AD non può essere impostato.