8. Zone Considerations (区域考虑事项)

已签名区域和未签名区域之间存在几个差异。已签名区域将包含额外的安全相关记录 (RRSIG、DNSKEY、DS 和 NSEC 记录)。RRSIG 和 NSEC 记录可能在为区域提供服务之前由签名过程生成。伴随区域数据的 RRSIG 记录具有定义的起始时间和过期时间, 这些时间为签名和签名所覆盖的区域数据建立有效期。

8.1. TTL Values vs. RRSIG Validity Period (TTL 值与 RRSIG 有效期)

重要的是要注意 RRset 的 TTL 值与 RRSIG RR 覆盖该 RRset 所指定的签名有效期之间的区别。DNSSEC 不改变 TTL 值的定义或功能, TTL 值旨在维护缓存中的数据库一致性。缓存解析器在这些 RRset 的 TTL 字段指定的时间段结束时或之前清除其缓存中的 RRset, 无论解析器是否是安全感知的。

另一方面, RRSIG RR ([RFC4034]) 中的起始和过期字段指定签名可用于验证所覆盖 RRset 的时间段。与已签名区域数据关联的签名仅在相关 RRSIG RR 中这些字段指定的时间段内有效。TTL 值不能扩展解析器缓存中已签名 RRset 的有效期, 但解析器可以使用已签名 RRset 的签名有效期到期前的剩余时间作为解析器缓存中已签名 RRset 及其关联 RRSIG RR 的 TTL 的上限。

8.2. New Temporal Dependency Issues for Zones (区域的新时间依赖性问题)

已签名区域中的信息具有原始 DNS 协议中不存在的时间依赖性。已签名区域需要定期维护以确保区域中的每个 RRset 都有当前有效的 RRSIG RR。RRSIG RR 的签名有效期是一个时间间隔, 在此期间可以认为一个特定已签名 RRset 的签名是有效的, 区域中不同 RRset 的签名可能在不同时间过期。重新签名区域中的一个或多个 RRset 将更改一个或多个 RRSIG RR, 这反过来将需要递增区域的 SOA 序列号以指示发生了区域更改并重新签名 SOA RRset 本身。因此, 重新签名区域中的任何 RRset 也可能触发 DNS NOTIFY 消息和区域传输操作。