5. Scope of the DNSSEC Document Set and Last Hop Issues (DNSSEC 文档集范围与最后一跳问题)

本文档集中的规范定义了区域签名者 (zone signers)、安全感知名称服务器和解析器的行为, 使验证实体能够明确确定数据的状态。

验证解析器可以确定以下 4 种状态:

Secure (安全): 验证解析器具有信任锚, 具有信任链, 并且能够验证响应中的所有签名。

Insecure (不安全): 验证解析器具有信任锚、信任链, 并且在某个授权点处具有 DS 记录不存在的已签名证明。这表明树中的后续分支是可证明不安全的。验证解析器可能具有本地策略将域空间的某些部分标记为不安全。

Bogus (伪造): 验证解析器具有信任锚和指示附属数据已签名的安全授权, 但由于某种原因响应验证失败: 缺少签名、过期的签名、具有不支持算法的签名、相关 NSEC RR 表示应该存在但缺少的数据等等。

Indeterminate (不确定): 没有信任锚表明树的特定部分是安全的。这是默认操作模式。

本规范仅定义安全感知名称服务器如何向非验证存根解析器发出数据被发现为伪造的信号 (使用 RCODE=2, "Server Failure", 服务器失败, 参见 [RFC4035])。

存在一种机制使安全感知名称服务器向安全感知存根解析器发出数据被发现为安全的信号 (使用 AD 位, 参见 [RFC4035])。

本规范未定义用于传达为何响应被发现为伪造或标记为不安全的原因的格式。当前的信号机制不区分不确定状态和不安全状态。

在安全感知存根解析器和安全感知递归名称服务器之间发送高级错误代码和策略信号的方法是未来工作的主题, 安全感知解析器与使用它的应用程序之间的接口也是如此。但是请注意, 缺少此类通信的规范并不妨碍已签名区域的部署或禁止将伪造数据传播到应用程序的安全感知递归名称服务器的部署。