DNSSecから通常のDNSへのフェイルバック
災害復旧計画がクライアントの会社で提案されており、次の場合にDNSSecから通常のDNSにフェールバックします。
1)多くのDNSレコードの変更を必要とする主要なサイトの停止
2)フェイルバックを正当化するDNSSecの問題
3)Tier 1DNSSecプロバイダーの問題
機能的なDNSSec実装を「通常の」DNSにフェイルバックするときに予測できる問題はありますか?
ゾーンの署名を解除する際の主な問題は、ゾーンの署名を解除する前に、DSレコードを親ゾーンから削除する必要がある)です。これらのレコードの有効期限が切れるのを待つ必要があります。 DNSKEYとRRSIGを削除する前に、キャッシュから削除します。何らかの理由でキャッシュがDSレコードを保持している場合、彼は署名されていないゾーンの使用をまったく拒否します。
さらに、(つまり、ゾーンを照会するリゾルバー)がDLVを使用している場合は、ゾーンもDLVから削除する必要があります。今日、誰もDLVを使用することになっていません。私見では。
これは「通常の」DNSでもほぼ同じです。ネームサーバーを変更する場合は、NS TTLが期限切れになった後でのみ、古いネームサーバーを削除します。
DNSSECの最大の問題は、それが非常に複雑なものだと人々が考えることです。私見。DNSSECはDNSとSSLと同じくらい複雑であり、誰もが複雑であることを知らなくても2つを使用します。