6. Zone Cuts (ゾーンカット)
DNSツリーは「ゾーン」(zones) に分割されており、これらは特定の管理目的のために単位として扱われるドメインの集合です。ゾーンは「ゾーンカット」(zone cuts) によって区切られます。各ゾーンカットは、「子」ゾーン(カットの下)を「親」ゾーン(カットの上)から分離します。ゾーンの頂点(ゾーンを親から分離するカットのすぐ下)に表示されるドメイン名は、そのゾーンの「起点」(origin) と呼ばれます。ゾーンの名前は、そのゾーンの起点にあるドメインの名前と同じです。各ゾーンは、そのゾーンの起点にあるか、それより下にあり、そのゾーンをその子ゾーン(もしあれば)から分離するカットより上にある、DNSツリーのサブセットを構成します。ゾーンカットの存在は、子ゾーンの起点を指定する親ゾーン内のNSレコードの存在によって示されます。子ゾーンには、その親への明示的な参照は含まれていません。
6.1. Zone authority (ゾーン権威)
ゾーンの権威サーバーは、ゾーンの起点のNSレコードに列挙されており、これらは起始権威 (Start of Authority, SOA) レコードとともに、すべてのゾーンの必須レコードです。このようなサーバーは、別のゾーンにないゾーン内のすべてのリソースレコードに対して権威を持ちます。ゾーンカットを示すNSレコードは、作成された子ゾーンのプロパティであり、その子ゾーンの起点の他のレコード、またはそのサブドメインの他のレコードも同様です。ゾーンのサーバーは、別のゾーン内の名前に関連するクエリに対して権威応答を返すべきではありません (should not)。これには、ゾーンカットにあるNS、および場合によってはAレコードが含まれますが、それが他のゾーンのサーバーでもある場合を除きます。
すぐ下に記載されているDNSSECの場合を除き、サーバーはNSレコード以外のデータ、およびNSレコードにリストされているサーバーを見つけるために必要な必要なAレコードを無視すべきです (should)。これらのデータは、ゾーンカットでゾーン内に構成されている可能性があります。
6.2. DNSSEC issues (DNSSEC問題)
DNSセキュリティメカニズム [RFC2065] は、追加された新しいリソースレコードタイプのいくつかが他のDNS RRと比較して非常に異常であるため、これを幾分複雑にします。特にNXT("next")RRタイプには、ゾーン内にどの名前が存在するか、したがってどの名前が存在しないかに関する情報が含まれており、したがって必然的にそれが存在するゾーンに関連している必要があります。同じドメイン名は、親ゾーンと子ゾーンで異なるNXTレコードを持つ可能性があり、両方とも有効であり、RRSetではありません。セクション5.3.2も参照してください。
NXTレコードはDNSオペレーターによって構成されるのではなく、自動的に生成されることが意図されているため、サーバーはセクション5.4の規則にかかわらず、受信したすべての異なるNXTレコードを保持することができます (may)(ただし、必須ではありません)。
安全な親ゾーンがサブゾーンが安全でないことを安全に示すために、DNSSECは、サブゾーンが安全でないことを示すKEY RR、および親ゾーンの認証SIG RRが親ゾーンに存在することを要求します。なぜなら、定義上、それらはサブゾーンに存在できないからです。サブゾーンが安全である場合、KEYおよびSIGレコードは存在し、そのゾーン内で権威的ですが、常に親ゾーン(安全である場合)にも存在する必要があります (should)。
これらのいずれの場合においても、親ゾーンのサーバー(同時にサブゾーンのサーバーでもない)は、ゾーンカットのラベルに対する応答でAAビットを設定すべきではありません (should not)。