Você pode ver algo, mas até certo ponto isso depende de qual software de DNS você está executando.
Em particular, o BIND define o bit "DNSSEC OK" (também conhecido como DO
) em consultas upstream, mesmo quando não solicita especificamente registros DNSSEC ou realiza a validação DNSSEC.
Nessas circunstâncias, os servidores-raiz podem enviar de volta registros DNSSEC adicionais, que podem causar problemas no caso improvável de você ter equipamentos de rede quebrados e / ou firewalls mal configurados no caminho.
Esses problemas estão relacionados principalmente ao tamanho do pacote. Alguns kits não gostam de pacotes DNS UDP que excedam 512 bytes de comprimento, seja por meio de firmware defeituoso ou de configurações recomendadas com erro do fornecedor. Veja meu RFC 5625 para mais detalhes. Note, no entanto, que a maioria dos problemas relacionados ao DNSSEC que reporto nesse RFC se relacionam com equipamentos da classe do consumidor, e apenas em configurações incomuns.
Observe que, se o seu kit tiver problemas com grandes pacotes UDP, o substituto será usar o TCP. No entanto, algumas pessoas de segurança (mal orientadas) configuram seus firewalls para desabilitar o DNS de saída sobre TCP, o que interrompe o fallback. Consulte este esboço da IETF para obter mais informações sobre o DNS sobre TCP.
A propósito, para testar a configuração da sua rede quanto a possíveis peculiaridades do DNS, eu recomendo o excelente Site Netalyzr da ICSI na UC Berkeley.
No entanto, para ser claro, a maioria dos especialistas em DNS não está esperando problemas significativos por causa da introdução do DNSSEC. Vários TLDs (incluindo .org e .se) já foram assinados e a internet não entrou em colapso por causa disso.
O DURZ é uma tentativa deliberada de gradualmente introduzir as respostas maiores que o DNSSEC inevitavelmente produz para que os sites raros que têm problemas de rede possam resolvê-los antes que toda a zona de raiz passe para o DNSSEC no verão.