Динамические обновления в поддерживающей DNSSEC-зоне
Напомним возможные операции над зонным файлом при выполнении динамических обновлений. Можно считать, что имеются две основные операции: добавление ресурсных записей и их удаление. Обновление можно рассматривать как комбинацию из операций добавления и удаления. В небезопасной зоне добавление и удаление ресурсных записей не вызывают никакой другой операции в оставшихся ресурсных записях в зонном файле. Однако в безопасной зоне существует NSEC-ресурсная запись (и соответствующая RRSIG-ресурсная запись) на каждую область в пространстве имен.
Имеется одна NSEC-ресурсная запись для каждого уникального имени владельца в зоне. Данная NSEC-ресурсная запись указывает на следующее имя владельца в каноническом порядке (упорядоченность, полученная лексикографической сортировкой доменных имен внутри зоны). NSEC-ресурсная запись для последнего имени владельца в каноническом порядке указывает на имя корня зоны (другими словами, имя зоны). Следовательно, концептуально эти записи образуют циклический список, в котором перечислены уникальные доменные имена в зоне
Рассмотрим содержимое ресурсных записей NSEC для зоны example.ru. Предположим следующую каноническую упорядоченность доменных имен в зоне:
example.ru IN SOA ns.example.ru admin.example.ru (12985 3600 2700 800 3600) IN RRSIG ( SOA ) IN NS ns.example.ru. IN RRSIG ( NS ) IN MX mail.example.ru. IN RRSIG ( MX ) marketing.example.ru IN A 192.253.101.9 IN RRSIG ( A ) IN MX mail.example.ru IN RRSIG ( MX ) sales.example.ru IN NS ns.example.ru. IN RRSIG ( NS ) www.exapmle.ru IN A 192.253.101.10 IN RRSIG ( A )
Псевдоформат (содержащий только информационные поля) NSEC-ресурсных записей, который охватывает интервалы пространства имен, относящиеся к доменным именам и типам ресурсных записей, что находятся в каждом имени в зонном файле, является следующим (ниже приведены четыре ресурсных записи NSEC):
example.ru IN NSEC marketing.example.ru (SOA NS MX RRSIG NSEC) marketing.example.ru IN NSEC sales.example.ru (A MX RRSIG NSEC) sales.example.ru IN NSEC www.example.ru (NS RRSIG NSEC) www.example.ru IN NSEC example.ru (A RRSIG NSEC)
Заметим, что существует столько NSEC- ресурсных записей, сколько уникальных доменных имен в зоне. NSEC-ресурсная запись, чье имя есть example.ru, ссылается на следующий домен в каноническом порядке (например, marketing.example.ru). То же самое выполняется для NS-ресурсных записей, относящихся к доменам marketing.example.ru и sales.example.ru. NSEC-ресурсная запись, относящаяся к последнему доменному имени (т.е, www.example.ru), ссылается на первое доменное имя в зоне (т.е. example.ru).
Когда получен запрос для "package.example.ru IN A" (т.е. запрос для зоны, которой не существует), авторитетный сервер отвечает NSEC множеством ресурсных записей, доказывая, что имя не существует в зоне. В данном случае ответ от сервера будет состоять из обычного DNS-ответа, указывающего, что имя не существует, и следующей информации:
marketing.example.ru. NSEC ресурсная запись, указывающая, что не существует авторитетных имен между marketing.example.ru. и sales.example.ru.
www.example.ru. NSEC-ресурсная запись (последний домен в зоне), доказывающая, что не существует расширений имен в формате wildcard в зоне, которые могут быть расширены таким образом, чтобы соответствовать запросу;
Сопутствующие RRSIG-ресурсные записи для каждой из вышеупомянутых NSEC-записей, используемые для аутентификации.
Модификации NSEC-ресурсных записей, выполняется при следующих операциях:
- добавление нового типа ресурсной записи в существующий домен;
- удаление некоторого типа ресурсной записи из существующего домена;
- добавление нового имени домена в зону;
- удаление имени домена из зоны.
