Posts tagged DNSSEC

First CentOS 8 server live

0

I’m busy with the first CentOS 8 web server. Since I use DirectAdmin to make my live easier when it comes to hosting some websites the supplier of this web-based admin interface still has the Alpha-tag on the software. The main reason to be ready for CentOS 8 obviously is support for TLS1.3, which is a requirement for upcoming features like QUIC and http/3 support in the near future, making websites faster.

With the switch to CentOS 8 I’m also test-driving LiteSpeed as web server replacement for Nginx which is currently the frond-end used for Apache. And Apache is still needed for .htaccess and mod_rewrite support. I hope LiteSpeed (OpenLiteSpeed in this case) can replace both Apache and Nginx as a web server.

With these upgrade I’m also enabling DNSSEC extensions for the main domains used by the server, DNS and mail. The domain aklmedia.nl is already signed and IPv6 is enabled again. Due to some problems with my home provider I had to temporarily disable support in order to be able to access my own servers.

Poort 53 open voor UDP en TCP

1

Soms moet je terug komen op een eerdere posting, waarbij ik mijn ongenoegen uitte over Afnic. Zij wouden namelijk met zowel TCP als UDP toegang hebben tot poort 53 waar de DNS deamon luisterd. Normaal gesproken werken aanvragen volgens UDP en wordt TCP enkel gebruikt om verschillende eigen DNS-servers in sync te houden via het AXFR-protocol. Er is echter een maar: UDP pakketten zijn beperkt tot maximaal 1452 bytes (MTU van 1500 minus >= 20 bytes voor de IP-header minus 8 bytes voor de UDP header) maar laten standaard 512 bytes toe.

Nu kun je best wat informatie stoppen in 512 bytes maar dit heeft zijn beperkingen. Als voorbeeld noem ik een SPF-record in de DNS met een grote lijst aan addressen. En met de komst van IPv6 wordt deze lijst alleen maar groter. Nu kom je boven de 512 bytes uit, waardoor je over moet schakelen van TCP naar UDP om alles toch te kunnen verwerken. Met de komst van DNSSEC zullen de paketten alleen maar groter worden. Als voorbeeld een screenshot van het opvragen van informatie bij de root-servers, waarbij het pakket al op 492 bytes uitkomt. Dit is een aanvraag op een server die nog geen DNSSEC toelaat.

Go to Top