全球主机交流论坛

标题: DNSSEC那么重要，是什么阻碍了其普及的进度？ [打印本页]

作者: 种植业生产人员 时间: 2024-12-5 17:36
标题: DNSSEC那么重要，是什么阻碍了其普及的进度？
本帖最后由种植业生产人员于 2024-12-5 17:37 编辑

DNSSEC推出多年，我知道的互联网企业业务域名9成未部署DNSSEC

作者: Hetzner 时间: 2024-12-5 17:45
不部署不影响用，部署了万一某一天密钥轮换之类的出问题了，导致域名解析瘫痪，都是自己的锅，而且领导也没下死命令必须要上。这个不部署也不像浏览器那样会报不安全。没有动力改这个，多一事不如少一事。

作者: iiii.im 时间: 2024-12-5 17:50
重要个锤子。反而影响解析速度。谷歌推特都没用

作者: KDE 时间: 2024-12-5 17:57
DoT，DoH。

作者: rqp 时间: 2024-12-5 18:26

作者: 种植业生产人员 时间: 2024-12-5 18:45

KDE 发表于 2024-12-5 17:57
DoT，DoH。

我们聊的可能不是一个东西

作者: 种植业生产人员 时间: 2024-12-5 18:57

Hetzner 发表于 2024-12-5 17:45
不部署不影响用，部署了万一某一天密钥轮换之类的出问题了，导致域名解析瘫痪，都是自己的锅，而且领导也没 ...

如果是自己搭建的权威解析服务通常RRSIG时效为一个月左右，没有好的自动化方案确实容易背锅，不过国内alidns，华为，dnspod似乎已经支持此项功能

作者: Hetzner 时间: 2024-12-5 19:30

种植业生产人员发表于 2024-12-5 18:57
如果是自己搭建的权威解析服务通常RRSIG时效为一个月左右，没有好的自动化方案确实容易背锅，不过国内ali ...

老外搞这个的多，尤其是支付和拥抱新技术的企业（即便dnssec不算新技术）。paypal，akamai，cloudflare，discord这些有。不过问题不大，其实你要是用dig +trace看一下，基本上就是到自己这一级dnssec才没有，一级域名(.com .cn .net … etc.)往上都是有的。

作者: 1121744186 时间: 2024-12-5 21:07
没什么用，都上https了。连墙都换污染方式了，DNSSEC只是会拦截不一致的IP就不让访问了。这年头为了防止使用 Doh 都直接安装 sni 拦截了，污染IP对使用 Doh 的客户端无效。

作者: 你好，再见 时间: 2024-12-5 22:03
不方便人家搞小动作了，以前还不让用https呢

作者: hins 时间: 2024-12-5 22:17
国内不支持

作者: xfspace 时间: 2024-12-5 23:15
单几个部署没卵用，链式效应。运营商服务商的public dns不支持就是白搭

作者: haozi 时间: 2024-12-5 23:18
没啥用，不如等ECH，这个要是强制用的话就可有意思了

欢迎光临全球主机交流论坛 (https://gebi.eu.org/)