Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
DNSSEC-Nachweise für Nichtvorhandensein in Route 53
Anmerkung
Route 53 verwendet die folgende Regel, die sich ändern könnte. Alle zukünftigen Änderungen werden die Sicherheitslage Ihrer Zone oder die von Route 53 nicht beeinträchtigen.
Es gibt drei Arten von Nachweisen für das Nichtvorhandensein in DNSSEC:
Nachweis des Nichtvorhandenseins eines Datensatzes, der mit dem Abfragenamen übereinstimmt.
Nachweis des Nichtvorhandenseins eines Typs, der mit dem Abfragetyp übereinstimmt.
Nachweis des Vorhandenseins eines Platzhalterdatensatzes, der zur Erzeugung des Datensatzes als Antwort verwendet wird.
Route 53 implementiert den Nachweis des Nichtvorhandenseins eines Datensatzes, der mit dem Abfragenamen übereinstimmt, mithilfe der BL-Methode. Weitere Informationen finden Sie unter BL
In Fällen, in denen ein Datensatz mit dem Abfragenamen, aber nicht mit dem Abfragetyp übereinstimmt (z. B. die Abfrage nach web.example.com/AAAA, aber nur web.example.com/A ist vorhanden), geben wir einen minimalen NSEC-Datensatz (den nächsten sicheren) zurück, der alle unterstützten Ressourceneintragstypen enthält.
Wenn Route 53 eine Antwort aus einem Platzhalterdatensatz synthetisiert, umfasst die Antwort keinen nächsten sicheren Datensatz, oder NSEC-Datensatz, für den Platzhalter. Ein solcher NSEC-Datensatz wird in einigen Implementierungen verwendet, für gewöhnlich jenen, die Offline-Signaturen ausführen, um zu verhindern, dass die Ressourceneeintragssignaturen (RRSIG) in der Antwort wiederverwendet werden, um eine andere Antwort zu fälschen. Route 53 verwendet Online-Signatur für Nicht-DNSKEY-Datensätze, um RRSIGs zu generieren, die für die Antwort spezifisch sind und nicht für eine andere Antwort wiederverwendet werden können.
