Provas do DNSSEC de inexistência no Route 53

nota

O Route 53 usa a regra a seguir, que pode ser alterada. Alterações futuras não reduzirão o procedimento de segurança de sua zona ou do Route 53.

Há três tipos de prova de inexistência no DNSSEC:

Prova de inexistência de um registro correspondente ao nome da consulta.
Prova de inexistência de um tipo correspondente ao tipo da consulta.
Prova de existência de um registro curinga usado para gerar o registro em resposta.

O Route 53 implementa a prova de inexistência de um registro correspondente ao nome da consulta usando o método BL. Para obter mais informações, consulte BL. É um método que produz uma representação compacta da prova e evita a verificação de zona.

Nos casos em que há um registro correspondente ao nome da consulta, mas não ao tipo de consulta (como consultar web.example.com/AAAA, mas há apenas web.example.com/A presente), retornamos um registro NSEC (próximo registro seguro) mínimo contendo todos os tipos de registro do recurso compatíveis.

Quando o Route 53 sintetizar uma resposta de um registro coringa, a resposta não será acompanhada com um próximo registro seguro ou um registro NSEC para o coringa. Esse registro NSEC é usado em algumas implementações, geralmente naquelas que executam assinatura offline, para evitar que as assinaturas de registro do recurso (RRSIG) na resposta sejam reutilizadas para falsificar uma resposta diferente. O Route 53 usa assinatura online para registros não DNSKEY a fim de gerar RRSIGs específicos para a resposta que não podem ser reutilizados para uma resposta diferente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de chaves do KMS e de ZSK no Route 53

Como solucionar problemas de assinatura de DNSSEC