Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Preuves DNSSEC d'inexistence dans Route 53
Note
Route 53 utilise la règle suivante qui peut changer. Tout changement futur ne réduira pas la posture de sécurité de votre zone ou de Route 53.
Il existe trois types de preuves d'inexistence dans DNSSEC :
Preuve d'inexistence d'un registre correspondant au nom de la requête.
Preuve d'inexistence d'un type correspondant au type de la requête.
Preuve d'existence d'un registre joker utilisé pour générer le registre en réponse.
Route 53 implémente la preuve d'inexistence d'un registre correspondant au nom de la requête à l'aide de la méthode BL. Pour plus d'informations, consultez BL
Dans les cas où un registre correspond au nom de la requête, mais pas au type de requête (par exemple, la requête pour web.example.com/AAAA mais qu'il n'y a que web.example.com/A présent), nous renvoyons un registre NSEC (prochain sécurisé) minimal contenant tous les types d'enregistrements de ressources pris en charge.
Lorsque Route 53 synthétise une réponse à partir d'un registre joker, la réponse n'est pas accompagnée d'un enregistrement sécurisé suivant, ou d'un registre NSEC pour le caractère générique. Un tel registre NSEC est utilisé dans certaines implémentations, généralement celles effectuant une signature hors ligne, pour empêcher la réutilisation des signatures d'enregistrement de ressources (RRSIG) de la réponse pour usurper une réponse différente. Route 53 utilise la signature en ligne pour les enregistrements non-DNSKEY afin de générer des RRSIG spécifiques à la réponse qui ne peuvent pas être réutilisés pour une réponse différente.
