Mit der Einführung von DNSSEC für verschiedene TLDs haben sich die Erfordernisse an die eingesetzte Firewall-Software erhöht. Da gleichzeitig im BIND9 die DNSSEC-Abfrage per Default eingeschaltet wurde, sollte getestet werden, ob die Firewall-Software für EDNS0-Anfragen richtig funktioniert. Hinweise für eine nicht richtig funktionierende EDNS0-Anfrage liefert eine BIND9-Meldung wie z.B.:
too many timeouts resolving 'ze.akamaitech.net/AAAA' (in 'akamaitech.net'?): disabling EDNS
EDNS0-Anfragen passen oft nicht in die (alten) UDP-Pakete mit einer Länge von 512 Bytes. Mit
dig +norec +dnssec example.com @a.root-servers.net
kann getestet werden, ob die Firewall UDP-Pakete mit einer Länge größer als 512 Bytes durchlässt. Mit
dig +dnssec +norec +ignore dnskey se @A.NS.se
kann getestet werden, ob IP Fragmente für UDP unterstützt werden.