9. Resolver Considerations (解析器注意事项)

9.1. NSEC3 Resource Record Caching (NSEC3 资源记录缓存)

缓存解析器 (Caching resolvers) 必须 (MUST) 能够在返回包含 NSEC3 RR 的响应时检索适当的 NSEC3 RR。在 DNSSEC [RFC4035] 中, 在许多情况下可以通过名称找到要在响应中返回的正确 NSEC RR (例如, 当返回引用时, NSEC RR 将始终具有与委派相同的所有者名称)。使用本规范, 情况将不会如此, 缓存也无法计算适当的 NSEC3 RR 的名称。实现可能需要使用新方法来缓存和检索 NSEC3 RR。

9.2. Use of the AD Bit (AD 位的使用)

根据 [RFC4035] 定义的 AD 位, 在返回包含最近 (可证明的) 封闭者证明的响应时, 如果覆盖"下一个更近名称"的 NSEC3 RR 设置了 Opt-Out 位, 则绝对不能 (MUST NOT) 设置 AD 位。

此规则基于此最近封闭者证明实际证明的内容: 将被 Opt-Out NSEC3 RR 覆盖的名称可能存在也可能不存在为不安全的委派。因此, 包含此类最近封闭者证明的响应中并非所有数据都已经过加密验证, 因此无法设置 AD 位。

9. Resolver Considerations (解析器注意事项)​

9.1. NSEC3 Resource Record Caching (NSEC3 资源记录缓存)​

9.2. Use of the AD Bit (AD 位的使用)​

9. Resolver Considerations (解析器注意事项)

9.1. NSEC3 Resource Record Caching (NSEC3 资源记录缓存)

9.2. Use of the AD Bit (AD 位的使用)