2. 要求 (Requirements)
为了实现本文档中描述的机制:
-
系统 MUST 能够使用 DNSSEC [RFC4033] 验证 zone 中的每个 signed record.
-
系统 MUST 拥有用于签名 DNS root 的 Key Signing Key (KSK) [RFC4033] 公共部分的最新副本.
-
系统 MUST 能够获取整个 root zone 的副本, 包括所有 DNSSEC 相关 records.
-
系统 MUST 能够在同一主机上为 root zone 运行 authoritative service.
上述列表的一个推论是, 本地 authoritative server 上使用的 root zone 中的 authoritative data MUST 与 DNS 的 root zone 中相同数据完全一致. 可以更改 root zone 副本中的 unsigned data, 即 glue records, 但这些更改可能会给访问本地 root zone 的 recursive server 带来问题, 因此 SHOULD NOT 对 glue records 进行任何更改.