기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Route 53에서 존재하지 않는다는 DNSSEC 증명
참고
Route 53는 변경될 수 있는 다음 규칙을 사용합니다. 향후 변경으로 인해 영역 또는 Route 53의 보안 태세가 줄어들지 않습니다.
DNSSEC에는 세 가지 종류의 존재하지 않는다는 증거가 있습니다.
쿼리 이름과 일치하는 레코드가 존재하지 않는다는 증거.
쿼리 유형과 일치하는 유형이 존재하지 않는다는 증거.
응답으로 레코드를 생성하는 데 사용되는 와일드카드 레코드가 존재하지 않는다는 증거.
Route 53은 BL 메서드를 사용하여 쿼리 이름과 일치하는 레코드가 존재하지 않는다는 증거를 구현합니다. 자세한 내용은 BL
쿼리 유형이 아닌 쿼리 이름과 일치하는 레코드가 있는 경우(예: web.example.com/AAAA에 대해 쿼리하지만 web.example.com/A만 있는 경우) 지원되는 모든 리소스 레코드 유형을 포함하는 최소 NSEC(다음 보안) 레코드를 반환합니다.
Route 53이 와일드카드 레코드의 응답을 합성할 경우, 응답은 다음 보안 레코드인 와일드카드에 대한 NSEC 레코드와 함께 제공되지 않습니다. 이러한 NSEC 레코드는 응답의 리소스 레코드 서명(RRSIG)이 다른 응답을 스푸핑하는 데 재사용되는 것을 방지하기 위해 일반적으로 오프라인 서명을 수행하는 일부 구현에서 사용됩니다. Route 53은 non-DNSKEY 레코드의 온라인 서명을 사용하여 다른 응답에 재사용할 수 없는 응답으로 특정된 RRSIG를 생성합니다.
