客户的公司已提出了一项灾难恢复计划,该计划将在发生以下情况时从 DNSSec 故障恢复到常规 DNS:
1)网站发生重大中断,需要更改许多 DNS 记录
2)DNSSec存在问题,需要进行故障恢复
3)我们的一级 DNSSec 提供商存在问题
将功能性 DNSSec 实现故障恢复为“常规”DNS时,是否会出现任何可预见的问题?
答案1
取消区域签名的主要问题是应从中删除 DS 记录父区域在您取消对区域的签名之前,请提前做好准备 - 您应该等待这些记录从缓存中过期,然后再删除 DNSKEY 和 RRSIG。如果某些缓存出于某种原因保留了 DS 记录,它将完全拒绝使用您的未签名区域。
此外,如果您(即查询您区域的解析器)使用 DLV,您的区域也应该从 DLV 中移除。目前没人应该使用 DLV。恕我直言。
它与“常规”DNS大致相同 - 当您想要更改名称服务器时,仅在NS TTL过期后才删除旧的名称服务器。
DNSSEC 的最大问题是人们认为它非常复杂。恕我直言。DNSSEC 并不比 DNS 和 SSL 更复杂,每个人都在使用这两种技术,甚至不知道它们很复杂。