DNSSEC: ¿Por qué los RRSIG se devuelven en la sección "Respuesta" y no "Adicional"?

2

Al observar los rastros de respuestas de DNSSEC de Wireshark, veo que RRSIG se devuelve en la sección "Respuesta", aunque no fue parte de la consulta.

¿Por qué no se devuelve en la sección "Adicional", que está diseñada precisamente para obtener información adicional además de la consulta?

    
pregunta SRobertJames 08.06.2015 - 03:11
fuente

1 respuesta

2

Parece que la idea es mantener los RR y sus firmas cerca.

RFC 4035, Sección 3.1.1, incluyendo RRSIG RR en una respuesta

  

3.1.1. Incluir RRSIG RR en una respuesta

     

Al responder a una consulta que tiene el bit de OD establecido, un dispositivo de seguridad      El servidor de nombres autorizado DEBERÍA intentar enviar RR de RRSIG para que un      El resolvedor que tiene en cuenta la seguridad puede utilizar para autenticar los conjuntos de recursos en el      respuesta. Un servidor de nombres DEBE hacer todo lo posible para mantener el RRset      y sus RRSIG (s) asociados en una respuesta. Inclusión de      Los RR de RRSIG en una respuesta están sujetos a las siguientes reglas:

     

o Al colocar un RRset firmado en la sección Respuesta, el servidor de nombres         DEBE también colocar sus RRSIG RR en la sección de respuestas. El RRSIG         Los RR tienen mayor prioridad de inclusión que cualquier otro RR.         que puede tener que ser incluido. Si el espacio no permite la inclusión.         de estos RRSIG RR, el servidor de nombres DEBE establecer el bit TC.

     

o Al colocar un conjunto de RR firmado en la sección Autoridad, el nombre         el servidor DEBE también colocar sus RRSIG RR en la sección de Autoridad.         Los RR de RRSIG tienen una prioridad de inclusión más alta que cualquier otra         Conjuntos que pueden ser incluidos. Si el espacio no lo permite         Incluyendo estos RR de RRSIG, el servidor de nombres DEBE establecer el bit TC.

     

o Al colocar un RRset firmado en la sección Adicional, el nombre         El servidor DEBE también colocar sus RRRG RRS en la sección Adicional.         Si el espacio no permite la inclusión tanto del RRset como de su         RRSIG RR asociados, el servidor de nombres PUEDE retener el RRset mientras         soltando los RR de RRSIG. Si esto sucede, el servidor de nombres NO DEBE         configura el bit TC únicamente porque estos RRSIG RR no encajaban.

    
respondido por el StackzOfZtuff 08.06.2015 - 07:11
fuente

Lea otras preguntas en las etiquetas