DNSSEC en la raíz

Como algunos se habrán enterado, hoy se dió un paso muy importante en la historia de DNSSEC. Debido a la estructura jerarquizada enel protocolo, era muy importante que la raíz del DNS estuviera firmada. Hoy se comenzó la etapa de pruebas, con firmas publicadas en 1 de los 13 servidores raíz.

Aunque algunos puedan pensar que esto no le importa a nadie que no use DNSSEC, no es tan así.

Uno de los efectos de la firma es que los "paquetes de respuesta" del DNS se hacen más grandes, incluso para consultas que no tienen "activo" DNSSEC en forma deliberada!

Es decir, consultas que ayer recibían respuestas de 400 bytes, desde hoy y sin hacer nada, recibirán respuestas de hasta 1000 bytes.

Y acá surge el problema: existen algunos firewalls, IDS, routers, etc., que por razones históricas (y por seguridad mal entendida) bloquean el paso de paquetes DNS grandes. Por lo tanto, se sospecha que algunos servidores recursivos no puedan recibir estas nuevas respuestas firmadas.

El efecto práctico es que estas consultas den "timeout" al no recibir la respuesta, y luego se reintente con otro de los servidores disponibles. Es por esto que en esta etapa se comienza con 1 de los 13
servidores firmados. Si un resolver que tiene el problema de bloqueo de los paquetes consulta a este servidor, y da timeout, tiene otros 12 con quienes seguir probando. Y como estos siguen tal como antes, debería funcionar.

Es muy importante entonces, como operadores de DNS y público en general, estar atentos a efectos como lentitud en la resolución, especialmente lentitud en obtener respuestas negativas a dominios no existentes, revisar los filtros alrededor de sus servidores DNS, y hacer pruebas de tamaño de paquetes. La gente de OARC tiene más información técnica y un sistema de test en
    https://www.dns-oarc.net/oarc/services/replysizetest
y también RIPE
   http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues