6. Opt-Out (选择退出)

6. Opt-Out (选择退出)

在本规范中, 如同 [RFC4033], [RFC4034] 和 [RFC4035] 中一样, 委派点 (delegation points) 处的 NS RRSet 不被签名, 并且可能伴随有 DS RRSet。当 Opt-Out 位 (bit) 清零时, 子区域 (child zone) 的安全状态由该 DS RRSet 的存在或不存在决定, 通过委派的哈希所有者名称 (hashed owner name) 处的已签名 NSEC3 RR 进行加密证明。设置 Opt-Out 标志 (flag) 通过允许不安全的委派 (insecure delegations) 存在于已签名区域内而无需在委派的哈希所有者名称处有相应的 NSEC3 RR 来修改此行为。

如果委派的所有者名称或"下一个更近名称" (next closer name) 的哈希在 NSEC3 RR 的所有者名称和下一个哈希所有者名称之间, 则称 Opt-Out NSEC3 RR 覆盖 (covers) 该委派。

Opt-Out NSEC3 RR 不断言 (assert) 它可能覆盖的不安全委派的存在或不存在。这允许在不重新计算或重新签名 NSEC3 RR 链中的 RR 的情况下添加或删除这些委派。但是, Opt-Out NSEC3 RR 确实断言其他权威 RRSet 的存在性或不存在性。

Opt-Out NSEC3 RR 可能与不安全委派具有相同的原始所有者名称 (original owner name)。在这种情况下, 通过类型位图 (type map) 中缺少 DS 位来证明委派是不安全的, 并且已签名的 NSEC3 RR 确实断言该委派的存在。

使用 Opt-Out 的区域可能包含 Opt-Out NSEC3 RR 和非 Opt-Out NSEC3 RR 的混合。如果 NSEC3 RR 不是 Opt-Out 的, 则在它与 NSEC3 RDATA 中下一个哈希所有者名称所指示的名称之间, 绝对不能 (MUST NOT) 有任何不安全委派的哈希所有者名称 (也不能有任何其他 RR)。如果它是 Opt-Out 的, 则它必须 (MUST) 只覆盖不安全委派的哈希所有者名称或"下一个更近名称"的哈希。

Opt-Out 标志对签名 (signing), 服务 (serving) 和验证 (validating) 响应的影响在后续章节中介绍。