มันปฏิเสธที่จะส่งคืนเรกคอร์ดที่ร้องขอ หรือส่งคืนเรกคอร์ด โดยถือว่าโดเมนไม่ปลอดภัยหรือไม่
จะเกิดอะไรขึ้นหากตัวแก้ไขพบอัลกอริทึม DNSSEC ที่ไม่รองรับ
DNSSEC ถูกสร้างขึ้นเพื่ออนุญาตการตรวจสอบตราบเท่าที่มีเส้นทางการตรวจสอบความถูกต้องหนึ่งเส้นทาง หากตัวแก้ไขสามารถค้นหาอัลกอริทึมอย่างน้อยหนึ่งอัลกอริทึมที่สนับสนุน และตรวจสอบว่าทุกอย่าง (ลายเซ็น ฯลฯ) ใช้ได้ การตรวจสอบ DNSSEC ก็จะใช้ได้ และอัลกอริทึมที่ไม่รู้จักจะถูกละเว้น
แน่นอน หากตัวแก้ไขพบเพียงอัลกอริทึมที่ไม่รองรับและไม่รองรับเลย การตรวจสอบ DNSSEC จะล้มเหลว และ SERVFAIL จะถูกส่งกลับ
เป็นไปได้ที่ DNSKEY RR มากกว่าหนึ่งรายการจะตรงกับเงื่อนไข ข้างต้น. ในกรณีนี้ โปรแกรมตรวจสอบไม่สามารถกำหนดล่วงหน้าได้ว่า DNSKEY ใด RR เพื่อใช้ในการตรวจสอบลายเซ็นและต้องลองแต่ละรายการ จับคู่ DNSKEY RR จนกว่าจะตรวจสอบลายเซ็นหรือ โปรแกรมตรวจสอบความถูกต้องไม่มีคีย์สาธารณะที่ตรงกันที่จะลอง
ดังนั้นอัลกอริธึมที่ดีเพียงตัวเดียวก็เพียงพอแล้ว ตัวแก้ไขไม่จำเป็นต้องทดสอบทั้งหมด ซึ่งเป็นการดีที่จะสามารถแนะนำอัลกอริทึมใหม่แบบก้าวหน้าในฝั่งการเผยแพร่ ในขณะที่ตัวแก้ไขจะได้รับการอัปเดตเพื่อทราบเกี่ยวกับอัลกอริทึมใหม่
ดูที่ RFC 8626 "ข้อกำหนดการใช้งานอัลกอริทึมและคำแนะนำการใช้งานสำหรับ DNSSEC".
มันปฏิเสธที่จะส่งคืนเรคคอร์ดที่ร้องขอหรือส่งคืนเรคคอร์ดโดยถือว่าโดเมนไม่ปลอดภัยหรือไม่?
DNSSEC เป็นแบบไบนารีตามปกติ: โดเมนมีการตรวจสอบ DNSSEC ที่ถูกต้องหรือมีข้อผิดพลาด (ดังนั้น SERVFAIL).รีโซลเวอร์ไม่ได้รับอนุญาตให้ตัด DNSSEC ออกจากโดเมนหากดำเนินการไม่สำเร็จ และส่งคืนระเบียนราวกับว่าโดเมนไม่มี DNSSEC ตั้งแต่เริ่มต้น
อย่างไรก็ตามนั่นคือทฤษฎี ในทางปฏิบัติ มันเกิดขึ้นที่บางครั้งตัวแก้ไขแบบเรียกซ้ำจำเป็นต้องดำเนินการตอบต่อแม้สำหรับโดเมนที่ทราบว่า DNSSEC ใช้งานไม่ได้ เพราะถือว่าจะสร้าง burgen ขนาดใหญ่เกินไป ดูตัวอย่าง NASA/Comcast ที่มีชื่อเสียงในอดีต ซึ่งเป็นเหตุผลว่าทำไมตอนนี้จึงมี "Negative Trust Anchors" หรือ NTA: นี่เป็นวิธีสำหรับตัวดำเนินการของตัวแก้ไขแบบเรียกซ้ำเพื่อบอกว่า "โดเมน X เป็น DNSSEC ที่ใช้งานไม่ได้ เพิกเฉยต่อความน่าเชื่อถือที่ล้มเหลว และดำเนินการราวกับว่าไม่มี DNSSEC" มันควรจะเป็นมาตรการชั่วคราวและเห็นได้ชัดว่าเป็นตัวแก้ไขแบบเรียกซ้ำแบบโลคัลแต่ละตัว
ดู RFC 7646 "คำจำกัดความและการใช้ DNSSEC Negative Trust Anchors" (กันยายน 2558):
เอกสารนี้กำหนดเชิงลบ Trust Anchors (NTA) ซึ่งสามารถใช้เพื่อลดการตรวจสอบ DNSSEC ล้มเหลวโดยการปิดใช้งานการตรวจสอบ DNSSEC ที่โดเมนที่ระบุ
AFAIK ตัวแก้ไขการตรวจสอบความถูกต้องที่ตระหนักถึงความปลอดภัยจะต้องให้การตอบสนองข้อผิดพลาด ดังนั้นคาดว่าจะมีการตอบสนองข้อผิดพลาด SERVFAIL
เมื่อมีการปรับปรุงเพื่อรองรับค่อนข้างล่าสุด อาร์เอฟซี 8914 จะมีรายละเอียดข้อผิดพลาด DNS เพิ่มเติมเช่น:
รหัสข้อผิดพลาด DNS แบบขยาย 1 - อัลกอริทึม DNSKEY ที่ไม่รองรับ
รหัสข้อผิดพลาด DNS แบบขยาย 2 - ประเภท DS Digest ที่ไม่รองรับ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
