DNSSEC那么重要，是什么阻碍了其普及的进度？

种植业生产人员 · 发表于 2024-12-5 17:36:22

本帖最后由种植业生产人员于 2024-12-5 17:37 编辑

DNSSEC推出多年，我知道的互联网企业业务域名9成未部署DNSSEC

Hetzner · 发表于 2024-12-5 17:45:44

不部署不影响用，部署了万一某一天密钥轮换之类的出问题了，导致域名解析瘫痪，都是自己的锅，而且领导也没下死命令必须要上。这个不部署也不像浏览器那样会报不安全。没有动力改这个，多一事不如少一事。

iiii.im · 发表于 2024-12-5 17:50:03

重要个锤子。反而影响解析速度。谷歌推特都没用

KDE · 发表于 2024-12-5 17:57:04

DoT，DoH。

rqp · 发表于 2024-12-5 18:26:42

种植业生产人员 · 发表于 2024-12-5 18:45:02

KDE 发表于 2024-12-5 17:57
DoT，DoH。

我们聊的可能不是一个东西

种植业生产人员 · 发表于 2024-12-5 17:57:00

Hetzner 发表于 2024-12-5 17:45
不部署不影响用，部署了万一某一天密钥轮换之类的出问题了，导致域名解析瘫痪，都是自己的锅，而且领导也没 ...

如果是自己搭建的权威解析服务通常RRSIG时效为一个月左右，没有好的自动化方案确实容易背锅，不过国内alidns，华为，dnspod似乎已经支持此项功能

Hetzner · 发表于 2024-12-5 18:57:43

种植业生产人员发表于 2024-12-5 18:57
如果是自己搭建的权威解析服务通常RRSIG时效为一个月左右，没有好的自动化方案确实容易背锅，不过国内ali ...

老外搞这个的多，尤其是支付和拥抱新技术的企业（即便dnssec不算新技术）。paypal，akamai，cloudflare，discord这些有。不过问题不大，其实你要是用dig +trace看一下，基本上就是到自己这一级dnssec才没有，一级域名(.com .cn .net … etc.)往上都是有的。

1121744186 · 发表于 2024-12-5 17:45:00

没什么用，都上https了。连墙都换污染方式了，DNSSEC只是会拦截不一致的IP就不让访问了。这年头为了防止使用 Doh 都直接安装 sni 拦截了，污染IP对使用 Doh 的客户端无效。

你好，再见hins · 发表于 2024-12-5 19:30:06

不方便人家搞小动作了，以前还不让用https呢国内不支持

		自动登录	找回密码
密码			立即注册