本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Route 53 中不存在的DNSSEC證據
注意
Route 53 使用以下可能會變更的規則。將來的任何變更都不會降低您區域或 Route 53 的安全狀態。
DNSSEC 中存在的證明有三種:
記錄與查詢名稱相符的不存在證明。
類型與查詢名稱相符的不存在證明。
用於生成回應記錄的通配符記錄的不存在證明。
Route 53 使用 BL 方法實現記錄與查詢名稱相符的不存在證明。如需詳細資訊,請參閱 BL
如果記錄符合查詢名稱,但不符合查詢類型 (例如查詢 web.example.com/AAAA but there is only web.example.com/A 存在),我們會傳回包含所有支援資源記錄類型的最小 NSEC (下一個安全) 記錄。
當 Route 53 從萬用字元記錄合成答案時,回應將不會伴隨下一個安全記錄或萬用字元的 NSEC 記錄。這類 NSEC 記錄用於某些實作,通常是執行離線簽署的實作,以防止回應中的資源記錄簽章 (RRSIG) 被重複使用來欺騙不同的回應。Route 53 使用非 DNSKEY 記錄的線上簽署來產生 RRSIGs 特定的回應,這些回應無法用於不同的回應。
