Route 53에서 존재하지 않는다는 DNSSEC 증명 - Amazon Route 53

Route 53에서 존재하지 않는다는 DNSSEC 증명

참고

Route 53는 변경될 수 있는 다음 규칙을 사용합니다. 향후 변경으로 인해 영역 또는 Route 53의 보안 태세가 줄어들지 않습니다.

DNSSEC에는 세 가지 종류의 존재하지 않는다는 증거가 있습니다.

  • 쿼리 이름과 일치하는 레코드가 존재하지 않는다는 증거.

  • 쿼리 유형과 일치하는 유형이 존재하지 않는다는 증거.

  • 응답으로 레코드를 생성하는 데 사용되는 와일드카드 레코드가 존재하지 않는다는 증거.

Route 53은 BL 메서드를 사용하여 쿼리 이름과 일치하는 레코드가 존재하지 않는다는 증거를 구현합니다. 자세한 내용은 BL 단원을 참조하세요. 이는 증거를 컴팩트하게 표현하고 영역 둘러보기를 방지하는 방법입니다.

쿼리 유형이 아닌 쿼리 이름과 일치하는 레코드가 있는 경우(예: web.example.com/AAAA에 대해 쿼리하지만 web.example.com/A만 있는 경우) 지원되는 모든 리소스 레코드 유형을 포함하는 최소 NSEC(다음 보안) 레코드를 반환합니다.

Route 53이 와일드카드 레코드의 응답을 합성할 경우, 응답은 다음 보안 레코드인 와일드카드에 대한 NSEC 레코드와 함께 제공되지 않습니다. 이러한 NSEC 레코드는 응답의 리소스 레코드 서명(RRSIG)이 다른 응답을 스푸핑하는 데 재사용되는 것을 방지하기 위해 일반적으로 오프라인 서명을 수행하는 일부 구현에서 사용됩니다. Route 53은 non-DNSKEY 레코드의 온라인 서명을 사용하여 다른 응답에 재사용할 수 없는 응답으로 특정된 RRSIG를 생성합니다.