[uanog] Немножко о DNSSEC

[Max Tulyev]

Hi!

Напомню, что у нас в стране есть цензура, в том числе и по DNS, которая
с DNSSEC как правило не совместима. Так что забейте на развитие DNSSEC в
Украине, как минимум, до следующего Майдана.

On 15.06.17 19:37, Taras Heychenko wrote:
>      Hi!
> Статистика говорит, что в Украине DNSSEC используется не очень активно. Тем не менее
> в мире оно распространено чуть шире, и у многих провайдров может стоять валидирующий
> резолвер, который проверяет DNSSEC. Приведу здесь перевод письма от ICANN, посвященный
> предотвращению последствий по смене KSK ключа в рутовой зоне. Лучше проверить заранее.
> P.S. Извините за кривоватый местами перевод -- художественная ценность не была целью. ;)
> 
> =========================================================
> Добрый день,
> 
> ICANN предлагает тестовую платформу для операторов сети и других заинтересованных сторон, позволяющую
> убедиться что ваши системы правильно отработают процесс автоматического обновления предстоящей смены
> Key Signing Key (KSK) Root Zone Domain Name System Security Extension. На текущий момент смена KSK запланирована
> на 11 октября 2017 года.
> 
> "На сейчас семь с половиной миллиардов людей используют DNSSEC валидирующие резолверы, на которые может повлиять
> смена KSK", заявил вице президент ICANN по исследовательской деятельности Мэтт Ларсон (Matt Larson). "Тестовая платформа --
> простой способ для операторов определиться, что их инфраструктура поддерживает способность обработать смену KSK без
> ручного вмешательства."
> 
> Интернет сервис провайдеры, операторы сети и остальные участники сети, у кого включена валидация DNSSEC должны обновить
> свои системы с новым KSK. Это может быть сделано одним из двух способов:
> 
> - Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по
> адресу https://www.iana.org/dnssec/files
> - Оператор может включить опцию, доступную во многих валидирующих резолверах, которая позволяет автоматически определить
> и сконфигурировать (установить) новый KSK root зоны в качестве trust anchor, и в этом случае никаких дополнительных действие не
> требуется.
> 
> Проверьте, готова ли ваша система, по адресу https://automated-ksk-test.research.icann.org/
> 
> KSK широко распространен и установлен каждым оператором, выполняющим DNSSEC валидацию. Если у резолвера, валидирующего
> DNSSEC после смены KSK не будет установлен новый KSK, конечные пользователи, использующие данные резолвер будут получать
> ошибки и испытывать проблемы с доступом в Интернет. Тщательность и скоординированные усилия необходимы для того, чтобы
> обновление не повлияло на нормальную деятельность.
> 
> Больше информации доступно по адресу https://www.icann.org/resources/pages/ksk-rollover
> =========================================================
> 
> 
> --
> Taras Heychenko
> tasic at academ.kiev.ua
> 
> 
> 
> 
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>