現在DURZを公開しているLルートサーバーの影響は何ですか？

あなたは何かを見るかもしれませんが、ある程度はあなたが実行しているDNSソフトウェアに依存します。

特に、BINDは、DNSSECレコードを特に要求したり、DNSSEC検証を実行したりしない場合でも、アップストリームクエリに「DNSSECOK」（別名DO）ビットを設定します。

そのような状況では、ルートサーバーが追加のDNSSECレコードを送り返す可能性があります。これにより、ネットワークギアが壊れたり、構成が誤ったりした場合に、可能性があります問題が発生する可能性があります。パス内のファイアウォール。

これらの問題は主にパケットサイズに関連しています。一部のキットは、バグのあるファームウェアまたはベンダーからの誤った推奨構成のいずれかにより、長さが512バイトを超えるDNSUDPパケットを好みません。詳細については、my RFC 5625 を参照してください。ただし、RFCで報告するDNSSEC関連の問題のほとんどは、コンシューマークラスのギアに関連しており、異常な構成でのみ発生することに注意してください。

キットに大きなUDPパケットで問題がある場合、フォールバックはTCPを使用することであることに注意してください。ただし、一部の（誤った）セキュリティ担当者は、TCPを介したアウトバウンドDNSを無効にするようにファイアウォールを構成しているため、フォールバックが中断されます。 DNS over TCPの詳細については、 this IETFドラフトを参照してください。

ちなみに、DNSの癖の可能性についてネットワークの構成をテストするには、ICSIのexcellentNetalyzr Webサイトを強くお勧めします。カリフォルニア大学バークレー校で。

ただし、明確にするために、ほとんどのDNSエキスパートは、DNSSECの導入により、重大な問題を期待していません。いくつかのTLD（.orgと.seを含む）はすでに署名されており、それが原因でインターネットが崩壊することはありませんでした。

DURZは、DNSSECが必然的に生成するより大きな応答を段階的に段階的に導入する意図的な試みであり、夏にルートゾーン全体がDNSSECに移行する前に、ネットワークの問題があるまれなサイトがそれらを解決できるようにします。