Door Anoniem: DNS is de bewegwijzering van het internet en DNSSEC zorgt ervoor dat er niet meer met deze bewegwijzering kan worden geknoeid. Zonder DNSSEC kunnen uw klanten (en dus uw geld) op de verkeerde website uitkomen.
Het is zeker de moeite waard om DNSSEC te overwegen (net zoals het de moeite waard is om TLS/SSL certificaten op een website of mailserver te overwegen). Dat geldt net zo goed voor doorgewinterde als voor 'eenvoudige' beheerders.
Met elkaar maken deze maatregelen het internet veiliger en krijgen de 'bad guys' (en dat zijn er heel wat en ze zijn creatief ook!) minder kans.
Alles heeft een prijs. Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).
Voor DNS Sec is een een veel grotere complexiteit van de server, en operationele last wanneer er "iets niet werkt vanwege geweigerd door dnssec".
Bij fouten in een DNSSec configuratie, of niet updaten ervan zal het domein voor een deel van de gebruikers (degenen met een dnssec aware resolver) "niet werken".
Dat troubleshooten is niet simpel, want voor de meeste bezoekers "werkt het bij mij wel", namelijk met een niet-dnssec resolver.
Of, als je degene bent die een DNSSec resolver gebruikt, zul je dus zo af en toe een niet-werkende site hebben.
Ik denk 99 van de 100 keer vanwege een fout van de beheerder, en misschien één keer vanwege het eigenlijke doel, namelijk dns poisoning die voorkomen is door dnssec.
In die 99 van de 100 keer zullen veel mensen allang naar google dns, opendns overgestapt zijn.
Kortom, leuk die veiligheid, maar vergis je er niet in dat je een stuk extra werk/aandacht nodig hebt als je DNSSec gaat gebruiken.