跳到主要内容

5. 安全考虑事项

5. 安全考虑事项

这里要求的严谨性用于防止发布 half-baked DS 或 delegation NS RRsets, 即只由 authoritative nameservers 的不足子集授权的记录集. 当存在其他 operators 时, 单个 operator 不能单方面添加或移除 trust anchors 或 nameservers, 无论该 setup 是有意还是偶然, 例如 lame-delegation hijacking.

只有当 zones 在 operators 之间同步并一致反映 domain owner 意图时, delegation records 才能被修改. 这提高了 domain DNS service 的 availability 和 integrity.

当无法就 child zone contents 达成共识时, Parental Agents SHOULD 继续通过经过认证的 out-of-band channel 接受 domain owner 的 DS 和 NS/glue update requests, 例如 EPP [RFC5730]. 这也支持在 child zone 中用于签名 CDS/CDNSKEY 或 CSYNC records 的 private key 不再可用时恢复.