DNSSEC и альтернативные DNS Root сервера

[MMM]

Привет.

 

Недавно прочитав https://ru.wikipedia.org/wiki/DNSSEC и https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions подумал, что столь популярные еще недавно альтернативные корневые DNS не будут работать с DNSSEC (не смогут дать валидные ключи).

 

Ну, или если пофантазировать, вдруг если какая-либо страна захочет сделать свой интернет со своими корневыми серверами, то у неё это не получится без переподписывания своих DNS зон.

 

Или же я не разобрался и ошибаюсь?

[vodz]

Можно пари делать, что быстрее будет - переход на IPv6 или DNSSEC в каждой кофеварке.

[s.lobanov]

столь популярные еще недавно альтернативные корневые DNS

 

что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены

[Ivan_83]

Да никто не смотрит на сигнатуры, ответы без них спокойно принимаются.

Наплодить своих корневых можно, только трафик придётся на них заворачивать.

 

Несомненно, IPv6 быстрее наступит чем клиенты станут смотреть на подписи в ответах.

[MMM]

Уточним условия. Допустим, резолверы начали проверять подписи, а власти Кракозии завернули трафик. Домены в .КРАКОЗИЯ уже используют DNSSEC, как и другие TLD, например, .COM, .NET .

[Ivan_83]

Вы DNS вообще на клиентах настраивали?

 

Всё проблемы лягут на слишком ретивых провайдеров которые на своих резолверах включили этот самый dnssec. Выключат и всё наладится.

Конечные клиенты прекрасно жрут всё без всяких подписей из кешей своих роутеров которым сто лет в обед и кешей провайдеров.

 

Ну может гугель будет вякать, они там вечно свои сертификаты чекают и тп.

[stas_k]

столь популярные еще недавно альтернативные корневые DNS

 

что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены

По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс.

[s.lobanov]

По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс.

 

вряд ли. в топике четко паписано "альтернативные dns root сервера"

[stas_k]

Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться.

 

Альтернативные корневые серверы DNS

UnifiedRoot

Эффективно захватывает любые существующие TLD, по 50000 евро за первый год использования (12.500 евро за каждый последующий)

 

Чтобы разрешить пользователям Интернета в любой точке мира доступ к веб-сайтам с помощью доменных имен, связанных с TLD, зарегистрированных в Unifiedroot, мы создали новый веб-браузер под названием "Солнечные часы".

или

Now, select the DNS field, select the DNS that’s already listed, then enter the DNS 93.88.144.138 setting and you are connected to Unifiedroot

 

Use the startpage, HTTP://start.sundial for the TLDs

 

И в этом контексте (убедить пользоваться) yandex имеет все шансы выиграть тендер, он известен(?), они локален, он держит высокую нагрузку(?).

[MMM]

Собственно говоря, http://nnm.me/blogs/genav/alter-net-vse-blizhe/

[vodz]

Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться.

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

[karpa13a]

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

[vodz]

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

[karpa13a]

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

[vodz]

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

[karpa13a]

vodz еще раз перечитывая:

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

кто сказал что это будет 193... а не 8.8.8.8?)

[stas_k]

Собственно говоря, http://nnm.me/blogs/...net-vse-blizhe/

Картинка смешная. Кабель проходит не только поперек четырех и вдоль двух разломов земной коры.

 

Даже если кабель проложат, он 85% времени будет порван в нескольких местах.

 

Отличный способ собрать денег с инвесторов.

[s.lobanov]

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

 

при чём тут кеш? берётся любой авторитативный dns-сервер, в него запиливаются зоны 1 уровня, на сервер вешаются IP-адреса корневых dns-серверов, на точке терминирования делают статик-роуты /32 и распространяются внутри AS. DNSSEC всё равно никто не смотрит

 

ну и кстати, у некоторых кеширующих DNS-ов есть опция отдавать флаг, что это авторитативный ответ, даже если запрос рекурсивный

[vodz]

при чём тут кеш?

При том, что методов это сделать не ровно один: можно кеш, можно nat-ить, можно как вы предложили.

 

Да и вообще, альтернитивные root сервера, насколько я понимаю, нужны для надёжности, а не цензуры. Что можно отцензурить? Закрыть полностью .com ?

[s.lobanov]

Что можно отцензурить? Закрыть полностью .com ?

 

скорее .ua

[Ivan_83]

но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

Заруливается на что то более адекватное, хотя бы тот же яндекс иоли вообще на себя.