9. Resolver Considerations (リゾルバの考慮事項)

9.1. NSEC3 Resource Record Caching (NSEC3 リソースレコードのキャッシング)

キャッシングリゾルバ (caching resolvers) は, それらを含むレスポンスを返す際に適切な NSEC3 RR を取得できなければなりません (MUST)。DNSSEC [RFC4035] では, 多くの場合, レスポンスで返す正しい NSEC RR を名前で見つけることが可能です (例えば, 委任を返す場合, NSEC RR は常に委任と同じオーナー名を持ちます)。この仕様では, それは真ではありませんし, キャッシュは適切な NSEC3 RR の名前を計算することもできません。実装は NSEC3 RR をキャッシングおよび取得するための新しい方法を使用する必要があるかもしれません。

9.2. Use of the AD Bit (AD ビットの使用)

[RFC4035] で定義されている AD ビットは, "next closer" 名前をカバーする NSEC3 RR が Opt-Out ビットを設定している最近接 (証明可能な) 包含者証明を含むレスポンスを返す際に, 設定してはなりません (MUST NOT)。

このルールは, この最近接包含者証明が実際に証明するものに基づいています: Opt-Out NSEC3 RR によってカバーされる名前は, 安全でない委任 (insecure delegations) として存在する場合と存在しない場合があります。そのため, そのような最近接包含者証明を含むレスポンス内のすべてのデータが暗号学的に検証されているわけではないため, AD ビットを設定することはできません。