Route 53 中的 DNSSEC 不存在证明 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Route 53 中的 DNSSEC 不存在证明

注意

Route 53 将使用以下规则(可能更改)。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。

DNSSEC 中有三种不存在证明:

  • 与查询名称匹配的记录的不存在证明。

  • 与查询类型匹配的类型的不存在证明。

  • 用于生成回应记录的通配符记录的存在证明。

Route 53 使用 BL 方法执行了与查询名称匹配的记录的不存在证明。有关更多信息,请参阅 BL。这是一种能够生成证明的紧凑表示法并防止区域步行的方式。

如果存在与查询名称匹配但与查询类型不匹配的记录(例如查询 web.example.com/AAAA 但只有 web.example.com/A 存在),我们将返回包含所有受支持的资源记录类型的最小 NSEC(下一代安全)记录。

当 Route 53 从通配符记录中合成答案时,响应将不会附带通配符的 NSEC 记录。在某些实施过程(通常是执行离线签名)中会使用此类 NSEC 记录,以防止响应中的资源记录签名(RRRSIG)被重新使用来欺骗不同的响应。对于非 DNSKEY,Route 53 使用线上签名以生成特定于响应的 RSIGS,这些 RSIGS 不能重复用于其他响应。