6. Resolver Considerations (リゾルバに関する考慮事項)

セキュリティ認識リゾルバは, 少なくとも実装必須のアルゴリズムを使用してデジタル署名を検証するために必要な暗号機能を実行できる必要があります。セキュリティ認識リゾルバは, 上記のように新しく学習したゾーンから認証鍵への認証チェーンを形成できる必要もあります。このプロセスには, 必要な DNSKEY, DS, および RRSIG レコードを取得するために中間 DNS ゾーンへの追加クエリが必要になる場合があります。セキュリティ認識リゾルバは, 認証チェーンの確立を試みる起点として少なくとも1つのトラストアンカーで構成される必要があります。

セキュリティ認識リゾルバが再帰ネームサーバまたは DNS のプロキシとして機能する任意の種類の中間デバイスによって関連する権威ネームサーバから分離されており, 再帰ネームサーバまたは中間デバイスがセキュリティ認識でない場合, セキュリティ認識リゾルバは安全モードで動作できない可能性があります。例えば, セキュリティ認識リゾルバのパケットがセキュリティ認識でない DNS プロキシを含むネットワークアドレス変換 (network address translation, NAT) デバイスを通過してルーティングされる場合, セキュリティ認識リゾルバは署名された DNS データを取得または検証することが困難または不可能になる可能性があります。このような場合, セキュリティ認識リゾルバは DS RR の取得に特に困難を伴う可能性があります, DS RR はゾーンカットでの RR 所有権に関する通常の DNS ルールに従わないためです。この問題は NAT に固有のものではないことに注意してください: セキュリティ認識リゾルバと権威ネームサーバの間のあらゆる種類のセキュリティ無認識 DNS ソフトウェアは DNSSEC を妨害します。

セキュリティ認識リゾルバが未署名ゾーンまたはセキュリティ認識でないネームサーバに依存する必要がある場合, リゾルバは DNS 応答を検証できない可能性があり, 未検証の応答を受け入れるかどうかについてローカルポリシーが必要になります。

セキュリティ認識リゾルバは, 署名の有効期間を超えて署名されたデータをキャッシュすることを避けるために, キャッシュ内のデータの TTL を決定する際に署名の検証期間を考慮する必要があります。ただし, セキュリティ認識リゾルバ自身のクロックが間違っている可能性も考慮する必要があります。したがって, セキュリティ認識再帰ネームサーバの一部であるセキュリティ認識リゾルバは, DNSSEC "チェック無効" (checking disabled, CD) ビット ([RFC4034]) に細心の注意を払う必要があります。これは, この再帰ネームサーバのクライアントである他のセキュリティ認識リゾルバに有効な署名が到達するのをブロックしないようにするためです。CD ビットが設定されたクエリを安全な再帰サーバがどのように処理するかについては [RFC4035] を参照してください。