[uanog] Немножко о DNSSEC

Volodymyr Litovka doka.ua at gmail.com
Fri Jun 16 00:04:54 EEST 2017 

Макс,

в рамках борьбы с тем, что ты называешь цензурой, как раз и надо развивать DNSSEC.

Так шо прекрати фантазировать и начни делать ;-)


-- 
/doka, on the run


> On Jun 15, 2017, at 22:52, Max Tulyev <maxtul at netassist.kiev.ua> wrote:
> 
> Hi!
> 
> Напомню, что у нас в стране есть цензура, в том числе и по DNS, которая
> с DNSSEC как правило не совместима. Так что забейте на развитие DNSSEC в
> Украине, как минимум, до следующего Майдана.
> 
>> On 15.06.17 19:37, Taras Heychenko wrote:
>>     Hi!
>> Статистика говорит, что в Украине DNSSEC используется не очень активно. Тем не менее
>> в мире оно распространено чуть шире, и у многих провайдров может стоять валидирующий
>> резолвер, который проверяет DNSSEC. Приведу здесь перевод письма от ICANN, посвященный
>> предотвращению последствий по смене KSK ключа в рутовой зоне. Лучше проверить заранее.
>> P.S. Извините за кривоватый местами перевод -- художественная ценность не была целью. ;)
>> 
>> =========================================================
>> Добрый день,
>> 
>> ICANN предлагает тестовую платформу для операторов сети и других заинтересованных сторон, позволяющую
>> убедиться что ваши системы правильно отработают процесс автоматического обновления предстоящей смены
>> Key Signing Key (KSK) Root Zone Domain Name System Security Extension. На текущий момент смена KSK запланирована
>> на 11 октября 2017 года.
>> 
>> "На сейчас семь с половиной миллиардов людей используют DNSSEC валидирующие резолверы, на которые может повлиять
>> смена KSK", заявил вице президент ICANN по исследовательской деятельности Мэтт Ларсон (Matt Larson). "Тестовая платформа --
>> простой способ для операторов определиться, что их инфраструктура поддерживает способность обработать смену KSK без
>> ручного вмешательства."
>> 
>> Интернет сервис провайдеры, операторы сети и остальные участники сети, у кого включена валидация DNSSEC должны обновить
>> свои системы с новым KSK. Это может быть сделано одним из двух способов:
>> 
>> - Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по
>> адресу https://www.iana.org/dnssec/files
>> - Оператор может включить опцию, доступную во многих валидирующих резолверах, которая позволяет автоматически определить
>> и сконфигурировать (установить) новый KSK root зоны в качестве trust anchor, и в этом случае никаких дополнительных действие не
>> требуется.
>> 
>> Проверьте, готова ли ваша система, по адресу https://automated-ksk-test.research.icann.org/
>> 
>> KSK широко распространен и установлен каждым оператором, выполняющим DNSSEC валидацию. Если у резолвера, валидирующего
>> DNSSEC после смены KSK не будет установлен новый KSK, конечные пользователи, использующие данные резолвер будут получать
>> ошибки и испытывать проблемы с доступом в Интернет. Тщательность и скоординированные усилия необходимы для того, чтобы
>> обновление не повлияло на нормальную деятельность.
>> 
>> Больше информации доступно по адресу https://www.icann.org/resources/pages/ksk-rollover
>> =========================================================
>> 
>> 
>> --
>> Taras Heychenko
>> tasic at academ.kiev.ua
>> 
>> 
>> 
>> 
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>> 
> 
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

More information about the uanog mailing list