Обожаю своего регистратора (называть не буду); но в настоящее время они могут только подписать и опубликовать мой KSK DS
записи для .com
и .net
и их можно подписать только по электронной почте на адрес «support@mumble.registrar» (без API). Хотя я не использую никаких «экзотических» TLD, отсутствие поддержки .org
хлопотно.
В такой поздний срок (апрель 2015 г.), уместно ли использовать поиск ISC для моих .org
домены?
Кто-нибудь все еще использует взгляд в сторону? Или все должны все еще использовать взгляд в сторону?
Неправильно ли направлена моя лояльность к регистратору? Или мне просто нужно передать свои домены кому-нибудь с лучшими технологиями?
Части вопроса явно основаны на мнении, но я постараюсь рассмотреть особенности использования Альтернативный DNSSEC (DLV
) в это время.
Прежде всего, внешняя поддержка реализована в нескольких основных реализациях программного обеспечения для проверки правильности решения, но не во всех. Даже там, где программное обеспечение реализует Lookaside поддержки, как правило, не включен по умолчанию (вероятно, его использование не совсем без споров - не «настоящий стандарт», центральное хранилище доверенных ключей и т.д.).
В настоящее время с рутом, а также большинство TLD подписали (и, надеюсь, разрешить создание подписанных делегаций). Я не думаю, что будет надуманным предполагать, что принятие альтернативного решения в новых развертываниях, вероятно, сильно упадет, за исключением случаев, когда сам владелец системы полагается на альтернативный вариант для своих собственных нужд.
Вот несколько примеров некоторых популярных серверов распознавателей валидации: общедоступные распознаватели Google не используют альтернативных методов, и Comcast.
В целом может показаться, что внешний вид все же лучше, чем ничего, поскольку он по-прежнему потенциально полезен, хотя кажется, что его полезность падает.
Если возможно (т. Е. Если вы знаете, какие серверы распознавания будут использовать большинство ваших клиентов), вы можете провести некоторое тестирование, чтобы выяснить, насколько полезно полагаться на альтернативный DNSSEC специально для вас. Запросы проверяющих серверов распознавателей, например, nsec3.dlvtest.dns-oarc.net
(и наблюдая AD
флаг в ответе) будет хорошим началом.
Некоторое потенциально полезное чтение (хотя и пару лет назад):