DNSSEC 不存在於 Route 53 中的證明

注意

Route 53 使用以下可能會變更的規則。將來的任何變更都不會降低您區域或 Route 53 的安全狀態。

DNSSEC 有三種不存在證明：

• 記錄與查詢名稱相符的不存在證明。

• 類型與查詢名稱相符的不存在證明。

• 用於生成回應記錄的通配符記錄的不存在證明。

Route 53 使用 BL 方法實現記錄與查詢名稱相符的不存在證明。如需詳細資訊，請參閱 BL。這種方法可生成精簡表示的證明，並避免區域遍歷。

萬一存在與查詢名稱相符，但與查詢類型不相符的記錄 (例如查詢 web.example.com/AAAA，但只有 web.example.com/A 存在)，我們會傳回包含所有支援資源紀錄類型的最小 NSEC (下一次安全) 記錄。

當 Route 53 從通配符記錄合成答案時，回應將不隨附下一次安全記錄，或通配符的 NSEC 記錄。此類 NSEC 記錄用於某些實作 (通常是執行離線簽署的實作)，以防止回應中的資源紀錄簽署 (RRSIG) 被重複用於欺騙不同的回應。Route 53 將線上簽署用於 non-DNSKEY 記錄來產生回應特定的 RRSIG，不能將這些 RRSIG 重複用於不同的回應。