[ urkozamanje @ 15.04.2010. 02:12 ] @
Postovanje,


Upravo procitah na Register-u ovaj clanak (sveze 13. April) Will DNSSEC kill your Internet, a takodje videh i ovo pa cisto da otvorim temu (ne nadjoh je u search-u). Posledice?




Pozdrav,

Marko


P.S.

Ako sam omasio podforum, ili je jednostavno bolje prebaciti ovo negde drugde, slobodno : )
[ Tyler Durden @ 15.04.2010. 11:40 ] @
Koliko sam skapirao, zbog ovoga bi samo BIND resolver imao problema ako se ne podesi kako treba.
Jos mnogo vode ce proteci do masovne implementacije DNSSEC-a.
[ optix @ 15.04.2010. 12:04 ] @
Bice problema verovatno na firewall-ovima koji blokiraju DNS poruke vece od 512 bajta, pa bi ovo trebalo povisiti na 4096...
[ B3R1 @ 16.04.2010. 11:10 ] @
Ne znam po cemu je 5. maj bilo kakav dan D. Sudeci prema zvanicnim informacijama:

http://www.root-dnssec.org/2010/04/14/status-update-april-2010/

trenutno je na 12 (od 13) root servera aktiviran DNSSEC i postavljena privremena "fake" root zona (koju oni zovu DURZ - Deliberately Unvalidatable Root Zone). Do sada nije bilo vecih problema, a ne ocekuju se ni posle 5. maja, kada ce DNSSEC biti aktiviran i na preostalom, trinaestom serveru (J). Zvanicno potpisana root zona ce biti generisana 1. jula i tada cemo dobiti i zvanicno potpisanu root zonu.

Na osnovu onoga sto se da procitati na:

http://labs.ripe.net/content/t...resolver-dns-reply-size-issues
https://www.dns-oarc.net/oarc/services/replysizetest

1. CPE ruteri i svi ostali zastareli DNS serveri koji za rekurzivni lookup koriste iskljucivo UDP i nemaju podrsku za DNSSEC nastavice da rade kao i do sada, bez ikakvih problema.

2. Ako zelite da koristite DNSSEC na svom serveru morate da obratite paznju na neke parametre. Jedan dobar test je:


$ dig +short rs.dns-oarc.net txt


Pogledajte https://www.dns-oarc.net/oarc/services/replysizetest za vise informacija.