3.1. Handling Resolution Failures (解決失敗の処理)

DNS 応答が暗号化によって保護されており (例: DNSSEC または TLS [DoT] [DoH] を使用), 認証エラー, SERVFAIL 応答, トランスポートエラー, またはタイムアウトにより SVCB 解決が失敗した場合, クライアントが SVCB-optional であっても, クライアントはサービスへの到達の試みを放棄すべきです (SHOULD)。そうしないと, アクティブな攻撃者が SvcParams へのユーザーアクセスを拒否することでダウングレード攻撃を仕掛ける可能性があります。

ドメインが DNSSEC 署名されており, 再帰リゾルバが DNSSEC 検証を行っており, 攻撃者が再帰リゾルバと権威 DNS サーバーの間にいる場合, SERVFAIL エラーが発生する可能性があります。クライアントと再帰リゾルバの間のアクティブな攻撃者が, サイズまたは他の観察可能なパターンに基づいて SVCB クエリまたは応答を選択的にドロップしている場合, トランスポートエラーまたはタイムアウトが発生する可能性があります。

クライアントが A/AAAA 応答に対して DNSSEC 検証を強制する場合, SVCB に対しても同じ検証ポリシーを適用すべきです (SHOULD)。そうしないと, 攻撃者はクライアントを他の IP アドレスに誘導する SVCB 応答を偽造することで A/AAAA 保護を打ち破ることができます。

DNS 応答が暗号化によって保護されていない場合, クライアントは SVCB 解決の失敗を致命的または非致命的として扱ってもかまいません (MAY)。

クライアントがチェーン長の制限により SVCB 解決を完了できない場合, クライアントはサービスの SVCB レコードが存在しないかのように権威エンドポイントにフォールバックしなければなりません (MUST)。