DNSSEC

27 Oct 2013

Một vài điều cần nhớ về DNSSEC:

  1. Lý thuyết DNSSEC dựa hoàn toàn vào PKI, do đó để hiểu về DNSSEC nên đọc trước về PKI.

  2. DNSSEC phá vỡ các chuẩn mạng (DNS RFC) hiện tại của DNS, cụ thể vì gói tin trả về quá lớn, hơn 512 bytes là cái chắc, không chứa nổi bằng UDP nên bắt buộc phải switch sang TCP. Khi DNS server chuyển sang TCP thì có khi bị DDOS còn ghê hơn.

  3. Việc deploy DNSSEC chưa hoàn toàn rộng rãi và phổ biến, chỉ mới có root zones và một số zone triển khai, Google public DNS cũng đã hỗ trợ DNSSEC cách đây không lâu. Thông tin tình hình triển khai DNSSEC nằm ở đây. Zone .VN theo lộ trình của VNNIC thì bắt đầu từ 2014, hoàn thành chắc phải đến 2024.

  4. Ngoài DNSSEC, djb cũng có đề xuất một giải pháp secure DNS khác là DNSCurve mà hiện tại OpenDNS đang deploy.

  5. Domain này cũng được deploy với DNSSEC tuy nhiên do registra của domain này là namecheap chưa triển khai nên cũng chưa validate được từ root. ISC có một giải pháp khác để Validate các domain mà registra chưa hỗ trợ.

  6. Deploy DNSSEC thì không thể không biết dnsviz. Ví dụ: http://dnsviz.net/d/vdchuyen.com/dnssec

Entry list: