Falha de volta do DNSSec para DNS regular

2

Um plano de recuperação de desastre foi proposto na empresa de um cliente que falharia do DNSSec para o DNS regular no caso de

1) Uma grande paralisação do site exigindo a alteração de muitos registros DNS

2) Um problema com o DNSSec que justifica um failback

3) Um problema com nosso provedor DNSSec de nível 1

Existe algum problema previsível ao falhar uma implementação DNSSec funcional no DNS "regular"?

    
por random65537 06.06.2012 / 02:59

1 resposta

1

O principal problema em não sinalizar sua zona é que os registros do DS devem ser removidos da zona pai com bastante antecedência antes de você desinscrever sua zona - você deve esperar que esses registros expirem dos caches antes de remover sua DNSKEYs e RRSIGs. Se algum cache, por algum motivo, mantém registros do DS, ele se recusará a usar sua zona não assinada.

Além disso, se você (ou seja, resolvedores que consultam sua zona) usam o DLV, sua zona também deve ser removida do DLV. Hoje ninguém deveria usar o DLV. IMHO.

É quase o mesmo no DNS "normal" - quando você deseja alterar um servidor de nomes, remove antigos servidores de nomes somente depois que o NS TTL expira.

O maior problema com DNSSEC é que as pessoas pensam que é algo extremamente complexo. NA MINHA HUMILDE OPINIÃO. O DNSSEC não é mais complicado que o DNS e o SSL, e todos usam os dois, nem mesmo sabendo que são complicados.

    
por 06.06.2012 / 19:45