- Door
- Randy ten Have
- geplaatst op
- 30 augustus 2010 08:03 uur
Nu DNSSEC op steeds meer domeinen wordt ingevoerd ontstaat er straks bij een gesignde zone en domeinnaam een ander probleem: DNS-queries worden langer dan normaal en passen niet meer in een UDP-pakket. Nameservers zullen daarom moeten overschakelen op het TCP-protocol.
Registrars die domeinen bij het Franse AFNIC geregistreerd hebben kennen het probleem misschien al wel van de controles die uitgevoerd worden op de nameservers. Wanneer deze niet luisteren op TCP dan zal de registratie van een .fr-domein niet slagen. Het lijkt een beetje vreemd dat een registry toegang tot TCP wil hebben omdat dit protocol normaal gesproken alleen gebruikt wordt voor (interne) AXFR-transfers maar ook zonder DNSSEC kunnen er problemen ontstaan door UDP-pakketten die te groot worden, bijvoorbeeld een SPF-record met een grote lijst geautoriseerde mailservers.
Met de komst van DNDSEC zullen pakketten mogelijk over de grens van 512 bytes heen gaan, waardoor DNS-servers over zullen schakelen naar TCP om de informatie af te leveren. Veel firewalls en DNS-servers blokkeren dit protocol of droppen pakketten groter dan 512 bytes. Nu ook in Nederland en België de eerste stappen voor DNSSEC zijn gezet, is het belangrijk om alvast te kijken hoe je eigen DNS-server en firewalls ingesteld staan. Er is een manier om te testen of je huidige DNS-resolver DNSSEC aankan. Namelijk door de instructies te volgen op DNS-OARC.