付録 A. なぜ返された SOA の所有者名を使用できないのですか? (Why can't we just use the owner name of the returned SOA?)

このドキュメントでは、拒否された名前が正確なドメインであった NXDOMAIN 回答に対してのみ、ドメインの非存在を推測します。リゾルバが TLD example のネームサーバーにクエリを送信し、www.foobar.example のメール交換 (MX) レコードを要求し、その後 NXDOMAIN を受信した場合、www.foobar.example (およびその下のすべて) が存在しないという事実のみを登録できます。これは、付随する SOA レコードがドメイン example のみのものであるかどうかに関係なく当てはまります。foobar.example が存在しないと推測することはできません。付随する SOA レコードは、最も近い既存のドメイン名ではなく、ゾーンの頂点を示します。したがって、権威セクションの SOA レコードの所有者名を使用して「NXDOMAIN カット」を推測することは、現在は間違いなく OK ではありません。

NXDOMAIN 応答の SOA からノードの非存在を推測することは、確かにランダム qnames 攻撃に役立つ可能性がありますが、これはこのドキュメントの範囲外です。これには、このセクションの最初の段落で述べた問題に対処する必要があります。考えられる解決策の 1 つは、ツリー内で 1 つ以上のラベル上にある SOA を含む NXDOMAIN を受信した場合、QNAME と SOA の所有者名の間のドメインに対して要求を送信することです。(DNSSEC 検証または QNAME 最小化を行うリゾルバは、いずれにせよそれを行う必要があります。)