Parece que la idea es mantener los RR y sus firmas cerca.
RFC 4035, Sección 3.1.1, incluyendo RRSIG RR en una respuesta
3.1.1. Incluir RRSIG RR en una respuesta
Al responder a una consulta que tiene el bit de OD establecido, un dispositivo de seguridad
El servidor de nombres autorizado DEBERÍA intentar enviar RR de RRSIG para que un
El resolvedor que tiene en cuenta la seguridad puede utilizar para autenticar los conjuntos de recursos en el
respuesta. Un servidor de nombres DEBE hacer todo lo posible para mantener el RRset
y sus RRSIG (s) asociados en una respuesta. Inclusión de
Los RR de RRSIG en una respuesta están sujetos a las siguientes reglas:
o Al colocar un RRset firmado en la sección Respuesta, el servidor de nombres
DEBE también colocar sus RRSIG RR en la sección de respuestas. El RRSIG
Los RR tienen mayor prioridad de inclusión que cualquier otro RR.
que puede tener que ser incluido. Si el espacio no permite la inclusión.
de estos RRSIG RR, el servidor de nombres DEBE establecer el bit TC.
o Al colocar un conjunto de RR firmado en la sección Autoridad, el nombre
el servidor DEBE también colocar sus RRSIG RR en la sección de Autoridad.
Los RR de RRSIG tienen una prioridad de inclusión más alta que cualquier otra
Conjuntos que pueden ser incluidos. Si el espacio no lo permite
Incluyendo estos RR de RRSIG, el servidor de nombres DEBE establecer el bit TC.
o Al colocar un RRset firmado en la sección Adicional, el nombre
El servidor DEBE también colocar sus RRRG RRS en la sección Adicional.
Si el espacio no permite la inclusión tanto del RRset como de su
RRSIG RR asociados, el servidor de nombres PUEDE retener el RRset mientras
soltando los RR de RRSIG. Si esto sucede, el servidor de nombres NO DEBE
configura el bit TC únicamente porque estos RRSIG RR no encajaban.