9. Name Server Considerations (名称服务器考虑事项)

安全感知名称服务器应在对通过在 EDNS 头中使用 DO 位发出愿意接收此类记录信号的解析器的查询的所有响应中包含适当的 DNSSEC 记录 (RRSIG、DNSKEY、DS 和 NSEC), 但受消息大小限制约束。由于包含这些 DNSSEC RR 很容易导致 UDP 消息截断并回退到 TCP, 因此安全感知名称服务器还必须支持 EDNS "发送者的 UDP 有效载荷" (sender's UDP payload) 机制。

如果可能, 每个 DNSSEC 密钥对的私钥部分应保持离线, 但对于启用了 DNS 动态更新的区域来说, 这是不可能的。在动态更新情况下, 区域的主主服务器在区域更新时必须重新签名区域, 因此与区域签名密钥对应的私钥必须保持在线。这是一个示例情况, 其中将区域的 DNSKEY RRset 分离为区域签名密钥和密钥签名密钥的能力可能很有用, 因为在这种情况下密钥签名密钥仍然可以保持离线, 并且可能比区域签名密钥具有更长的有效生命周期。

仅 DNSSEC 本身不足以在区域传输操作期间保护整个区域的完整性, 因为即使是已签名区域, 如果区域有任何子区域, 也包含一些未签名的非权威数据。因此, 区域维护操作将需要一些额外的机制 (最有可能是某种形式的通道安全, 例如 TSIG、SIG(0) 或 IPsec)。