9. Name Server Considerations (ネームサーバに関する考慮事項)

セキュリティ認識ネームサーバは, EDNS ヘッダーで DO ビットを使用してそのようなレコードを受信する意思を示したリゾルバからのクエリへのすべての応答に, メッセージサイズの制限に従って適切な DNSSEC レコード (RRSIG, DNSKEY, DS, および NSEC) を含める必要があります。これらの DNSSEC RR を含めると UDP メッセージの切り捨てと TCP へのフォールバックが容易に発生する可能性があるため, セキュリティ認識ネームサーバは EDNS "送信者の UDP ペイロード" (sender's UDP payload) メカニズムもサポートする必要があります。

可能であれば, 各 DNSSEC 鍵ペアの秘密半分はオフラインに保つ必要がありますが, DNS 動的更新が有効になっているゾーンではこれは不可能です。動的更新の場合, ゾーンのプライマリマスターサーバは更新時にゾーンに再署名する必要があるため, ゾーン署名鍵に対応する秘密鍵はオンラインに保つ必要があります。これは, ゾーンの DNSKEY RRset をゾーン署名鍵と鍵署名鍵に分離する能力が有用である可能性がある状況の例です, このような場合の鍵署名鍵はオフラインに保つことができ, ゾーン署名鍵よりも長い有用なライフタイムを持つ可能性があるためです。

DNSSEC だけでは, ゾーン転送操作中にゾーン全体の完全性を保護するには十分ではありません, 署名されたゾーンでさえ, ゾーンに子がある場合は一部の未署名の非権威データが含まれるためです。したがって, ゾーンメンテナンス操作には追加のメカニズム (おそらく TSIG, SIG(0), または IPsec などの何らかの形式のチャネルセキュリティ) が必要になります。