root scheme analysis
ICANN RSSAC Technical Analysis of the Naming Scheme Used For Individual Root Servers
priming query
递归根据初始配置,查 . 的 NS,开启edns0至少1024字节
The Current Naming Scheme
原有的架构,root -> root-servers.net 信息分层zone存放
root-servers.net 没签名
. 的 13个 NS 有一个 RRSIG
The Current Naming Scheme, with DNSSEC
root-servers.net 在该权威上签名
由于root不是root-servers.net的权威,根服务器对应的RRSIGs是存在root-servers.net上面的,如果net不幸挂掉,会影响root-servers.net的DS。链式验证root-servers.net的dnssec记录时,还要先验证.net的dnssec记录
In-zone NS RRset
root zone直接作为权威,根服务器统一新命名如 a.root-servers 之类。
priming query的应答answser section包含13个NS记录,Additional section包含13个A,13个AAAA的26个RRSIG。
DNSSEC记录管理比之前简单,但应答包较大。
Names Delegated to Each Operator
统一root server命名,如a.root-servers之类
priming query时answer section是13个NS+1个RRSIG。Additional section是 a/aaaa glue,没有RRSIG。也就是说13个NS的A如果要验证的话,就要跑去13个NS的权威上各查1遍。
对比
同步;
依赖其他zone;
验证链断掉导致风险;
长验证chain;
rtt延长;
priming response包增大;
某些场景异常;
命名冲突;
根服务器自治
Recommendations
加签名
根NS信息与根区文件数据存一起
减少长DNSSEC链验证
减小应答包长度研究,例如算法调整,物联网设备接收应答包短一点,向不同源返回自适应glue
讨论
5.6 管理简单一些,5.4 预期过渡平稳一些
自适应响应的话,区域同步时效需要考虑