Ce se întâmplă dacă un resolver întâlnește un algoritm DNSSEC pe care nu îl acceptă?
DNSSEC este construit pentru a permite validarea atâta timp cât există O cale de validare. Dacă rezolutorul este capabil să afle cel puțin un algoritm pe care îl suportă și să verifice dacă totul (semnăturile etc.) este ok, atunci validarea DNSSEC va fi ok, iar algoritmul necunoscut va fi ignorat.
Desigur, dacă rezolutorul găsește doar algoritmi pe care nu îi acceptă și nici măcar unul pe care îi acceptă, atunci validarea DNSSEC va fi eșuată și SERVFAIL va fi returnat.
Vedea §5.3.1 din RFC 4035:
Este posibil ca mai mult de un DNSKEY RR să corespundă condițiilor
de mai sus. În acest caz, validatorul nu poate predetermina ce DNSKEY
RR de utilizat pentru a autentifica semnătura și TREBUIE să încerce fiecare
potrivirea DNSKEY RR până când fie semnătura este validată, fie
validatorul a rămas fără cheile publice care se potrivesc pentru a încerca.
Deci un algoritm bun este suficient, rezolutorul nu trebuie să le testeze pe toate. Ceea ce este bine să poți introduce progresiv noi algoritmi la nivelul publicării, în timp ce rezolutorii sunt actualizați pentru a cunoaște noul algoritm.
Aruncă o privire și la RFC 8626 „Cerințe de implementare a algoritmului și ghid de utilizare pentru DNSSEC”.
Refuză să returneze înregistrarea solicitată sau returnează înregistrarea, tratând domeniul ca nesecurizat?
DNSSEC este binar în mod normal: domeniul are validarea DNSSEC corectă sau este în eroare (deci SERVFAIL).Un rezolutor nu are voie să elimine DNSSEC dintr-un domeniu dacă nu a reușit și să returneze înregistrări ca și cum domeniul nu ar fi avut DNSSEC de la început.
Cu toate acestea, aceasta este teoria. În practică, se întâmplă ca rezoluția recursivă să fie nevoită uneori să continue să răspundă chiar și pentru domeniile despre care se știe că sunt DNSSEC rupte, deoarece se consideră că altfel va crea un burgen prea mare. Vedeți celebrul exemplu NASA/Comcast din trecut.
Motiv pentru care există acum „Ancore de încredere negative” sau NTA: aceasta este o modalitate prin care operatorii de soluții recursive spun „domeniul X este DNSSEC rupt, ignoră încrederea eșuată acolo și operează ca și cum nu ar exista DNSSEC”. Se presupune că este o măsură temporară și, evident, este locală pentru fiecare rezolutor recursiv.
Vedea RFC 7646 „Definiția și utilizarea ancorelor de încredere negative DNSSEC” (septembrie 2015):
Acest document definește negativul
Ancore de încredere (NTA), care pot fi utilizate pentru a atenua validarea DNSSEC
eșecuri prin dezactivarea validării DNSSEC la domeniile specificate.
