本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
DNSSECRoute 53 中不存在的证据
注意
Route 53 将使用以下规则(可能更改)。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。
有三种不存在的证据:DNSSEC
与查询名称匹配的记录的不存在证明。
与查询类型匹配的类型的不存在证明。
用于生成回应记录的通配符记录的存在证明。
Route 53 使用 BL 方法执行了与查询名称匹配的记录的不存在证明。有关更多信息,请参阅 BL
如果有记录与查询名称匹配但与查询类型不匹配(例如查询 web.example)。 com/AAAA but there is only web.example.com/Apresent),我们返回一个包含所有支持的资源记录类型的最小NSEC(下一个安全)记录。
当 Route 53 合成通配符记录中的答案时,该响应将不会附带下一个安全记录或通配符NSEC记录。此类NSEC记录用于某些实现(通常是执行离线签名的实现),以防止响应中的资源记录签名 (RRSIG) 被重复用于欺骗不同的响应。Route 53 对非DNSKEY记录使用在线签名来生成RRSIGs特定于该响应的响应,这些记录不能重复用于不同的响应。
