использование хранения DNSSEC, потому что регистратор не может ввести записи DS
Я люблю своего регистратора (кого я не назову); но они в настоящее время только могут подписать и отправить мой KSK DS записи для .com и .net и это только sign'able по электронной почте на "support@mumble.registrar" (никакой API). В то время как я не использую "экзотического" TLD's, отсутствие поддержки .org неприятно.
В эту последнюю дату (апрель 2015), это соответствующий для использования хранения ISC для моего .org домены?
Кто-либо все еще использует хранение? Или все должны на самом деле все еще использовать хранение?
Моя лояльность моему неверно направленному регистратору? Или я должен просто передать свои домены кому-то с лучшей технологией?
Части вопроса явно основаны на мнении, но я попытаюсь рассмотреть особенности использования альтернативного протокола DNSSEC ( DLV ) в настоящее время.
Прежде всего, внешняя поддержка реализована в нескольких основных реализациях программного обеспечения для проверки правильности распознавания, но не во всех.
Даже если программное обеспечение реализует дополнительную поддержку, она обычно не включена по умолчанию (вероятно, поскольку ее использование не является полностью бесспорным - это не «настоящий стандарт», центральное хранилище доверенных ключей и т. Д.).
В настоящее время с корневым а также большинство подписанных TLD (и, надеюсь, разрешает создание подписанных делегаций), я не думаю, что будет неправдоподобно предполагать, что внедрение альтернативного подхода в новых развертываниях, вероятно, сильно снизится, за исключением случаев сами владельцы системы полагаются на внешний вид в своих собственных нуждах.
В качестве нескольких примеров некоторых популярных проверяющих серверов резолверов, публичные резолверы Google не используют сторонние резолверы, и Comcast .
В целом может показаться, что внешний вид все же лучше, чем ничего, поскольку он все еще потенциально полезен, хотя кажется, что его полезность падает.
Если возможно (то есть, если у вас есть какое-либо представление, какими серверами распознавателей будет большинство ваших клиентов с помощью ), вы можете провести некоторое тестирование, чтобы выяснить, насколько полезно полагаться на альтернативный DNSSEC именно для вас. Запросы к проверяющим серверам распознавания, например, nsec3.dlvtest.dns-oarc.net (и наблюдение за флагом AD в ответе) были бы хорошим началом.
Некоторое потенциально полезное чтение (хотя пару лет назад):