6. Resolver Considerations (解析器考虑事项)

安全感知解析器必须能够执行使用至少一种强制实现算法验证数字签名所需的加密功能。安全感知解析器还必须能够如上所述从新学习的区域形成到认证密钥的认证链。此过程可能需要对中间 DNS 区域进行额外查询以获取必要的 DNSKEY、DS 和 RRSIG 记录。安全感知解析器应至少配置一个信任锚作为其尝试建立认证链的起点。

如果安全感知解析器通过递归名称服务器或通过任何类型的充当 DNS 代理的中介设备与相关权威名称服务器分隔开, 并且如果递归名称服务器或中介设备不是安全感知的, 则安全感知解析器可能无法在安全模式下运行。例如, 如果安全感知解析器的数据包通过包含不安全感知的 DNS 代理的网络地址转换 (network address translation, NAT) 设备进行路由, 则安全感知解析器可能会发现难以或不可能获取或验证已签名的 DNS 数据。在这种情况下, 安全感知解析器可能特别难以获取 DS RR, 因为 DS RR 不遵循区域切割处 RR 所有权的常规 DNS 规则。请注意, 此问题并不特定于 NAT: 安全感知解析器和权威名称服务器之间的任何类型的任何安全无感知 DNS 软件都将干扰 DNSSEC。

如果安全感知解析器必须依赖未签名区域或不安全感知的名称服务器, 则解析器可能无法验证 DNS 响应, 并且需要本地策略来决定是否接受未验证的响应。

安全感知解析器在确定其缓存中数据的 TTL 时应考虑签名的验证期, 以避免在签名的有效期之后缓存已签名数据。但是, 它也应该考虑安全感知解析器自己的时钟可能出错的可能性。因此, 作为安全感知递归名称服务器一部分的安全感知解析器必须仔细注意 DNSSEC "检查禁用" (checking disabled, CD) 位 ([RFC4034])。这是为了避免阻止有效签名到达作为此递归名称服务器客户端的其他安全感知解析器。有关安全递归服务器如何处理设置了 CD 位的查询, 请参见 [RFC4035]。