2. Regole (Rules)

Quando un risolutore DNS con caching iterativo riceve un NXDOMAIN, DOVREBBE (SHOULD) memorizzarlo nella sua cache e quindi tutti i nomi e gli insiemi di record di risorse (RRset) a quel nodo o al di sotto di esso DOVREBBERO (SHOULD) essere considerati irraggiungibili. Le query successive per tali nomi DOVREBBERO (SHOULD) ricevere risposta immediata con NXDOMAIN.

When an iterative caching DNS resolver receives an NXDOMAIN, it SHOULD store it in its cache and then all names and resource record sets (RRsets) at or below that node SHOULD be considered unreachable. Subsequent queries for such names SHOULD be answered with NXDOMAIN immediately.

Tuttavia, se un risolutore riceve una risposta NXDOMAIN e ha una voce nella cache per un nome sotto quel nome che punta a una fonte diversa (ad es., un file locale come /etc/hosts o un'altra mappatura "statica"), DEVE (MUST) mantenere la voce nella cache e ignorare l'informazione NXDOMAIN per quel nome specifico. Ciò consente agli amministratori di definire sovrascritture locali.

However, if a resolver receives a NXDOMAIN response and has a cache entry for a name below that name that points to a different source (e.g., a local file such as /etc/hosts or another "static" mapping), it MUST keep the cache entry and ignore the NXDOMAIN information for that specific name. This allows administrators to define local overrides.

Ma se la risposta NXDOMAIN è firmata DNSSEC e convalidata, allora è più affidabile di qualsiasi voce della cache locale (a meno che la voce locale non sia anche convalidata DNSSEC o provenga da una fonte attendibile che sovrascrive DNSSEC).

But if the NXDOMAIN response is DNSSEC-signed and validated, then it is more trustworthy than any local cache entry (unless the local entry is also DNSSEC-validated or comes from a trusted source that overrides DNSSEC).