Route 53 に存在しないことを示すDNSSECの証明 - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Route 53 に存在しないことを示すDNSSECの証明

注記

Route 53 は、変更される可能性がある次のルールを使用します。将来変更があっても、お客様のゾーンまたは Route 53 のセキュリティ体制が減少することはありません。

DNSSEC に存在しない証拠には 3 種類あります。

  • クエリ名に一致するレコードが存在しないことの証明。

  • クエリタイプに一致するタイプが存在しないことの証明。

  • レスポンスにレコードを生成するために使用されるワイルドカードレコードが存在することの証明。

Route 53 は、BL メソッドを使用して、クエリ名と一致するレコードが存在しないことの証明を実装します。詳細については「BL」を参照してください。これは、証明をコンパクトに表現し、ゾーンウォーキングを防ぐ方法です。

クエリ名に一致するレコードがあるが、クエリタイプに一致しないレコード (web.example.com/AAAA but there is only web.example.com/A のクエリなど) がある場合、サポートされているすべてのリソースレコードタイプを含む最小限の NSEC (次に安全な) レコードが返されます。

Route 53 がワイルドカードレコードから回答を合成する場合、レスポンスには、次の安全なレコード、またはワイルドカードの NSEC レコードは添付されません。このような NSEC レコードは、レスポンス内のリソースレコード署名 (RRSIG) が別のレスポンスを偽装するために再利用されないようにするために、通常はオフライン署名を実行する実装で使用されます。Route 53 は、Word 以外のDNSKEYレコードにオンライン署名を使用して、別のレスポンスに再利用できないレスポンスに固有の RRSIGs を生成します。