5. Possibili Problemi (Possible Issues)

Supponiamo che il dominio di primo livello (TLD) example esista, ma che foobar.example non sia delegato (quindi i server dei nomi di example risponderanno NXDOMAIN per una query su anything.foobar.example). Un amministratore di sistema decide di nominare le macchine interne della sua organizzazione sotto office.foobar.example e utilizza un trucco del suo risolutore per inoltrare le richieste su questa zona ai suoi server dei nomi autorevoli locali. Il "taglio NXDOMAIN" creerebbe problemi qui; a seconda dell'ordine delle richieste al risolutore, potrebbe aver memorizzato nella cache l'inesistenza da example e quindi "cancellato" tutto ciò che si trova sotto di esso. Questo documento assume che tale configurazione sia rara e non debba essere supportata.

Let's assume that the Top-Level Domain (TLD) example exists, but foobar.example is not delegated (so the example's name servers will reply NXDOMAIN for a query about anything.foobar.example). A system administrator decides to name the internal machines of his organization under office.foobar.example and uses a trick of his resolver to forward requests about this zone to his local authoritative name servers. "NXDOMAIN cut" would create problems here; depending on the order of requests to the resolver, it may have cached the nonexistence from example and therefore "deleted" everything under it. This document assumes that such a setup is rare and does not need to be supported.

Oggi esiste un altro possibile problema; vediamo server dei nomi autorevoli che rispondono a ENT ([RFC7719], Sezione 6) con NXDOMAIN invece del normale NODATA ([RFC7719], Sezione 3).

Today, another possible issue exists; we see authoritative name servers that reply to ENT ([RFC7719], Section 6) with NXDOMAIN instead of the normal NODATA ([RFC7719], Section 3).

Tali server dei nomi sono decisamente sbagliati e lo sono sempre stati. Il loro comportamento è incompatibile con DNSSEC. Dati i vantaggi del "taglio NXDOMAIN", c'è poco motivo di supportare questo comportamento.

Such name servers are definitely wrong and have always been. Their behaviour is incompatible with DNSSEC. Given the advantages of "NXDOMAIN cut", there is little reason to support this behavior.