你是否會遇到,2010年5月5日後,可能會突然上不了網了?因爲全球13臺根服務器部署完DNSSEC準確時間表信息是5月5日,之後是全球幾百臺鏡像根服務器更新升級。
原因很簡單,你日常使用的DNS是基於UDP的,大小不能超過512字節,因此很多防火器和網絡中繼/代理設備都會拒絕超過512字節的UDP包。
而DNSEC是對DNS的安全擴展,DNSEC包會略微長於512字節。但從5月5日開始,根服務器將返回的是長於512字節的DNSEC包,又可能會被防火器過濾掉!
RIPE有個 java程序(http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues)可以自己做這樣的測試,也有個網站能否測試此事,但我這裏的網絡連接不上去,沒實驗成:https://www.dns-oarc.net/oarc/services/replysizetest