2. 要件
このドキュメントで説明されているメカニズムを実装するには:
-
システムは、DNSSEC [RFC4033] を使用してゾーン内のすべての署名済みレコードを検証できなければなりません(MUST)。
-
システムは、DNS ルートへの署名に使用される鍵署名鍵 (KSK) [RFC4033] の公開部分の最新のコピーを持っていなければなりません(MUST)。
-
システムは、ルートゾーン全体のコピー(すべての DNSSEC 関連レコードを含む)を取得できなければなりません(MUST)。
-
システムは、同じホスト上でルートゾーンの権威サービスを実行できなければなりません(MUST)。
上記のリストの必然的な結果として、ローカル権威サーバーで使用されるルートゾーン内の権威データは、DNS のルートゾーン内の同じデータと同一でなければなりません(MUST)。ルートゾーンのコピー内の署名されていないデータ(グルーレコード)を変更することは可能ですが、そのような変更はローカルルートゾーンにアクセスする再帰サーバーに問題を引き起こす可能性があるため、グルーレコードへの変更は行うべきではありません(SHOULD NOT)。