Route 53 中的 DNSSEC 不存在证明

注意

Route 53 将使用以下规则（可能更改）。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。

DNSSEC 中有三种不存在证明：

与查询名称匹配的记录的不存在证明。
与查询类型匹配的类型的不存在证明。
用于生成回应记录的通配符记录的存在证明。

Route 53 使用 BL 方法执行了与查询名称匹配的记录的不存在证明。有关更多信息，请参阅 BL。这是一种能够生成证明的紧凑表示法并防止区域步行的方式。

如果存在与查询名称匹配但与查询类型不匹配的记录（例如查询 web.example.com/AAAA 但只有 web.example.com/A 存在），我们将返回包含所有受支持的资源记录类型的最小 NSEC（下一代安全）记录。

当 Route 53 从通配符记录中合成答案时，响应将不会附带通配符的下一条安全记录或 NSEC 记录。在某些实施过程（通常是执行离线签名）中会使用此类 NSEC 记录，以防止响应中的资源记录签名（RRRSIG）被重新使用来欺骗不同的响应。对于非 DNSKEY 记录，Route 53 使用线上签名以生成特定于响应的 RRSIG，这些 RRSIG 不能重复用于其他响应。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Route 53 中的 KMS 密钥和 ZSK 管理

DNSSEC 签名的问题排查