DNSSEC目前最大问题是效率，现在有什么好办法可以改进吗？

北京二胖

DNSSEC目前最大问题是效率，现在有什么好办法可以改进吗？

llzqq

作为一个普通的BIND使用者而言，只能是升级硬件

abel

原帖由 北京二胖 于 2008-7-20 07:42 发表
DNSSEC目前最大问题是效率，现在有什么好办法可以改进吗？

沒, 只要涉及 ssl 就不好解決

北京二胖

那怎么办？  不用DNSSEC 不安全 用了效率低？
为了提高效率，DNSSEC有什么可以改进的
最近论文要开题了 准备写现有DNs安全的改进

abel

原帖由 北京二胖 于 2008-7-21 11:03 发表
那怎么办？  不用DNSSEC 不安全 用了效率低？
为了提高效率，DNSSEC有什么可以改进的
最近论文要开题了 准备写现有DNs安全的改进

以 dnssec 來看,我個人認為你會變成要介紹標準, 而不是一個論文
更何況以 DNS 而言, 這種開放性的東西不是說改進就改進的

DNSSEC 不是為了效率, 這個前提您必需記得, 依此,再來看 DNSSEC 的作用
以您的能力,不妨做個 Enable DNSSEC 的 DNS 代管之類的,或是 DNSSEC 的檢測工具

北京二胖

代管指什么？
检测是指检测什么？

abel

原帖由 北京二胖 于 2008-7-21 15:21 发表
代管指什么？
检测是指检测什么？

代管是 DNS Hosting , 就是你幫別人管 DNS Zone file 那一類的, 但是你需要假設一定上層,由這個上層給您 sign key

檢測則是指測試一個域名的 DNSSEC 相關設定是否正確的工具程式,最好是網頁型式的

xwmhmily

书上看的安全设定:
1:隐藏BIND版本号
2:区域传输使用TSIG
3:以非ROOT用户运行
4:限制请求
5:使用Chroot
6:关闭glue fetching
7:使用DNSSEC

北京二胖

原帖由 abel 于 2008-7-21 16:25 发表

代管是 DNS Hosting , 就是你幫別人管 DNS Zone file 那一類的, 但是你需要假設一定上層,由這個上層給您 sign key

檢測則是指測試一個域名的 DNSSEC 相關設定是否正確的工具程式,最好是網頁型式的

最近看了一些台湾的做法,感觉很不错!

zhenghang21

楼上看的资料能提供下载么？？