Bukti DNSSEC tentang ketidakberadaan di Route 53

catatan

Route 53 menggunakan aturan berikut yang mungkin berubah. Setiap perubahan di masa depan tidak akan mengurangi postur keamanan zona atau Route 53 Anda.

Ada tiga jenis bukti ketidakberadaan di DNSSEC:

Bukti tidak adanya catatan yang cocok dengan nama kueri.
Bukti tidak adanya tipe yang cocok dengan tipe kueri.
Bukti keberadaan catatan wildcard yang digunakan untuk menghasilkan catatan sebagai tanggapan.

Route 53 mengimplementasikan bukti tidak adanya catatan yang cocok dengan nama kueri menggunakan metode BL. Untuk informasi lebih lanjut, lihat BL. Ini adalah metode yang menghasilkan representasi kompak dari bukti dan mencegah zona berjalan.

Dalam kasus di mana ada catatan yang cocok dengan nama kueri tetapi bukan jenis kueri (seperti kueri untuk web.example.com/AAAA tetapi hanya ada Web.example.com/A), kami mengembalikan catatan NSEC (aman berikutnya) minimal yang berisi semua jenis catatan sumber daya yang didukung.

Ketika Route 53 mensintesis jawaban dari catatan wildcard, respons tidak akan disertai dengan catatan aman berikutnya, atau catatan NSEC untuk wildcard. Catatan NSEC semacam itu digunakan dalam beberapa implementasi, biasanya yang melakukan penandatanganan offline, untuk mencegah tanda tangan catatan sumber daya (RRSIG) dalam respons digunakan kembali untuk menipu respons yang berbeda. Route 53 menggunakan penandatanganan online untuk catatan non-DNSkey untuk menghasilkan RRSIG khusus untuk respons yang tidak dapat digunakan kembali untuk respons yang berbeda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kunci KMS dan manajemen ZSK di Rute 53

Memecahkan masalah penandatanganan DNSSEC