Odpověď na názor
Odpovídáte na názor k článku Počet domén .CZ zabezpečených pomocí DNSSEC překročil jeden milión. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Ondřej CaletkaZlatý podporovatelTak znovu, proc se rovnou v ramci te tve tzv. "transparentnosti" rovnou nerekne, at se necha povolene AXFR?
Dobře, že se ptáš. Ptal jsem se na totéž u pravidel KINDNS, které na jednu stranu vyžadují DNSSEC, a zároveň požadují omezení AXFR, což podle mě nedává smysl. Dostal jsem odpověď, že otevřené AXFR je především DoS potenciál a to zvlášť u serverů s dynamickým zónovým souborem. Aby byl AXFR konzistentní, musí server databázi zmrazit na dobu přenosu. Pokud bude hodně klientů soustavně požadovat AXFR a následně přenášet zónu pomalu, může to mít negativní důsledky na výkon.
Konfrontoval jsem s tím kolegy, protože, jak jistě víš:
$ dig ripe.net AXFR @manus.authdns.ripe.net +noanswer ; <<>> DiG 9.20.13 <<>> ripe.net axfr @manus.authdns.ripe.net +noanswer ;; global options: +cmd ;; Query time: 223 msec ;; SERVER: 2a13:27c0:30::7#53(manus.authdns.ripe.net) (TCP) ;; WHEN: Fri Oct 10 12:21:48 CEST 2025 ;; XFR size: 41672 records (messages 181, bytes 2952923)
Dostal jsem odpověď, že tohle nikdy nebyl problém, ale nejspíš hlavně proto, že nepoužíváme dynamicky spravované zóny.
