Route 53 中的 DNSSEC 不存在证明 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Route 53 中的 DNSSEC 不存在证明

注意

Route 53 将使用以下规则(可能更改)。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。

DNSSEC 中有三种不存在证明:

  • 与查询名称匹配的记录的不存在证明。

  • 与查询类型匹配的类型的不存在证明。

  • 用于生成回应记录的通配符记录的存在证明。

Route 53 使用 BL 方法执行了与查询名称匹配的记录的不存在证明。有关更多信息,请参阅 BL。这是一种能够生成证明的紧凑表示法并防止区域步行的方式。

如果存在与查询名称匹配但与查询类型不匹配的记录(例如查询 web.example.com/AAAA 但只有 web.example.com/A 存在),我们将返回包含所有受支持的资源记录类型的最小 NSEC(下一代安全)记录。

当 Route 53 从通配符记录中合成答案时,响应将不会附带通配符的下一条安全记录或 NSEC 记录。在某些实施过程(通常是执行离线签名)中会使用此类 NSEC 记录,以防止响应中的资源记录签名(RRRSIG)被重新使用来欺骗不同的响应。对于非 DNSKEY 记录,Route 53 使用线上签名以生成特定于响应的 RRSIG,这些 RRSIG 不能重复用于其他响应。