Ny TTL på DNSSEC

From: Erwin Lansing <erwin_at_dk-hostmaster.dk>
Date: Thu, 10 Apr 2014 09:13:57 +0200

DK Hostmaster ændrer Time-To-Live (TTL) på DNSSEC fra 24 timer til 2 timer. Din computer husker DNSSEC forespørgslen i kortere tid og derved kan du hurtigere tilgå det korrekte website, hvis der har været fejl med nøglen.

En af bekymringerne ved indførsel af DNSSEC hos registranter og udbydere er, at man ikke kan se en hjemmeside, hvis der opstår fejl i DNSSEC-signeringen. Uoverensstemmelse mellem nøglen i zonen og DS hos DK Hostmaster kræver hurtig handling. En kort TTL for DNSSEC data betyder, at ændringer i disse data slår hurtigere igennem og en hjemmeside vil derved hurtigere være tilgængelig igen.

Ændringer i zonen
Normalt er ændringer af data i zonen ikke tidskritisk og de fleste brugere kan vente op til et døgn, før det slår igennem. Men der kan være omstændigheder, hvor der netop kan opstå tidskritiske situationen for DNSSEC. Det kan være, at man har haft indbrud og nogen har fået fat i ens private nøgle, som dermed kan signere zonen; Det kan være, at der er gået noget teknisk galt, som gør, man ikke længere har adgang til den private nøgle; Eller det kan være, at man redelegerer et domænenavne fra en udbyder med DNSSEC til en uden DNSSEC og valideringer derfor fejler. Her er de to timere mere acceptabelt end de 24 timer.

To timers TTL på baggrund af test
De japanske administratorer (.jp) har testet forskellige TTL og belastningerne af forespørgslerne på deres navneservere[1]. Deres konklusion var, at en TTL på to timer er et fint kompromis mellem den øgede belastning på navneserverne og hastigheden hvormed en opdatering kan udføres. DK Hostmaster forsøgte også at køre med en to timers TTL specifikt for DNSSEC data i .dk zonen, mens resten af zonen forsæt kører med 24 timer, uden nævneværdig øgning af belastning og ordningen er derfor lavet permanent.

DK Hostmaster håber med ændring i TTL, at det er nemmere at komme i gang med DNSSEC og gøre konsekvenserne af fejl mindre.

1: http://buenosaires48.icann.org/en/schedule/wed-dnssec/presentation-ds-ttl-20nov13-en.pdf


-- 
Med venlig hilsen/Best Regards
Erwin Lansing
Network and System Administrator
DK Hostmaster A/S
Kalvebod Brygge 45, 3. sal
1560 København V
Tlf.      33 64 60 60
Fax.:     33 64 60 66
Email:    erwin_at_dk-hostmaster.dk
Homepage: http://www.dk-hostmaster.dk
.dk Danmarks plads på Internettet
-------------------------------------------------------------------------
This is an email from DK Hostmaster A/S. This message may contain
confidential information and is intended solely for the use of the
intended addressee. If you are not the intended addressee please notify
the sender immediately and delete this e-mail from your system. You are
not permitted to disclose, distribute or copy the information in this
e-mail.
--------------------------------------------------------------------------

Received on Thu Apr 10 2014 - 09:13:57 CEST

This archive was generated by hypermail 2.3.0 : Tue Mar 24 2020 - 08:55:00 CET