[uanog] Немножко о DNSSEC
Volodymyr Litovka
doka.ua at gmail.com
Fri Jun 16 00:04:54 EEST 2017
Макс,
в рамках борьбы с тем, что ты называешь цензурой, как раз и надо развивать DNSSEC.
Так шо прекрати фантазировать и начни делать ;-)
--
/doka, on the run
> On Jun 15, 2017, at 22:52, Max Tulyev <maxtul at netassist.kiev.ua> wrote:
>
> Hi!
>
> Напомню, что у нас в стране есть цензура, в том числе и по DNS, которая
> с DNSSEC как правило не совместима. Так что забейте на развитие DNSSEC в
> Украине, как минимум, до следующего Майдана.
>
>> On 15.06.17 19:37, Taras Heychenko wrote:
>> Hi!
>> Статистика говорит, что в Украине DNSSEC используется не очень активно. Тем не менее
>> в мире оно распространено чуть шире, и у многих провайдров может стоять валидирующий
>> резолвер, который проверяет DNSSEC. Приведу здесь перевод письма от ICANN, посвященный
>> предотвращению последствий по смене KSK ключа в рутовой зоне. Лучше проверить заранее.
>> P.S. Извините за кривоватый местами перевод -- художественная ценность не была целью. ;)
>>
>> =========================================================
>> Добрый день,
>>
>> ICANN предлагает тестовую платформу для операторов сети и других заинтересованных сторон, позволяющую
>> убедиться что ваши системы правильно отработают процесс автоматического обновления предстоящей смены
>> Key Signing Key (KSK) Root Zone Domain Name System Security Extension. На текущий момент смена KSK запланирована
>> на 11 октября 2017 года.
>>
>> "На сейчас семь с половиной миллиардов людей используют DNSSEC валидирующие резолверы, на которые может повлиять
>> смена KSK", заявил вице президент ICANN по исследовательской деятельности Мэтт Ларсон (Matt Larson). "Тестовая платформа --
>> простой способ для операторов определиться, что их инфраструктура поддерживает способность обработать смену KSK без
>> ручного вмешательства."
>>
>> Интернет сервис провайдеры, операторы сети и остальные участники сети, у кого включена валидация DNSSEC должны обновить
>> свои системы с новым KSK. Это может быть сделано одним из двух способов:
>>
>> - Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по
>> адресу https://www.iana.org/dnssec/files
>> - Оператор может включить опцию, доступную во многих валидирующих резолверах, которая позволяет автоматически определить
>> и сконфигурировать (установить) новый KSK root зоны в качестве trust anchor, и в этом случае никаких дополнительных действие не
>> требуется.
>>
>> Проверьте, готова ли ваша система, по адресу https://automated-ksk-test.research.icann.org/
>>
>> KSK широко распространен и установлен каждым оператором, выполняющим DNSSEC валидацию. Если у резолвера, валидирующего
>> DNSSEC после смены KSK не будет установлен новый KSK, конечные пользователи, использующие данные резолвер будут получать
>> ошибки и испытывать проблемы с доступом в Интернет. Тщательность и скоординированные усилия необходимы для того, чтобы
>> обновление не повлияло на нормальную деятельность.
>>
>> Больше информации доступно по адресу https://www.icann.org/resources/pages/ksk-rollover
>> =========================================================
>>
>>
>> --
>> Taras Heychenko
>> tasic at academ.kiev.ua
>>
>>
>>
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
More information about the uanog
mailing list