MMM Posted January 11, 2015 · Report post Привет. Недавно прочитав https://ru.wikipedia.org/wiki/DNSSEC и https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions подумал, что столь популярные еще недавно альтернативные корневые DNS не будут работать с DNSSEC (не смогут дать валидные ключи). Ну, или если пофантазировать, вдруг если какая-либо страна захочет сделать свой интернет со своими корневыми серверами, то у неё это не получится без переподписывания своих DNS зон. Или же я не разобрался и ошибаюсь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted January 11, 2015 · Report post Можно пари делать, что быстрее будет - переход на IPv6 или DNSSEC в каждой кофеварке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 11, 2015 · Report post столь популярные еще недавно альтернативные корневые DNS что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 11, 2015 · Report post Да никто не смотрит на сигнатуры, ответы без них спокойно принимаются. Наплодить своих корневых можно, только трафик придётся на них заворачивать. Несомненно, IPv6 быстрее наступит чем клиенты станут смотреть на подписи в ответах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted January 11, 2015 · Report post Уточним условия. Допустим, резолверы начали проверять подписи, а власти Кракозии завернули трафик. Домены в .КРАКОЗИЯ уже используют DNSSEC, как и другие TLD, например, .COM, .NET . Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 12, 2015 · Report post Вы DNS вообще на клиентах настраивали? Всё проблемы лягут на слишком ретивых провайдеров которые на своих резолверах включили этот самый dnssec. Выключат и всё наладится. Конечные клиенты прекрасно жрут всё без всяких подписей из кешей своих роутеров которым сто лет в обед и кешей провайдеров. Ну может гугель будет вякать, они там вечно свои сертификаты чекают и тп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted January 12, 2015 · Report post столь популярные еще недавно альтернативные корневые DNS что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 12, 2015 · Report post По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс. вряд ли. в топике четко паписано "альтернативные dns root сервера" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted January 12, 2015 · Report post Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться. Альтернативные корневые серверы DNS UnifiedRoot Эффективно захватывает любые существующие TLD, по 50000 евро за первый год использования (12.500 евро за каждый последующий) Чтобы разрешить пользователям Интернета в любой точке мира доступ к веб-сайтам с помощью доменных имен, связанных с TLD, зарегистрированных в Unifiedroot, мы создали новый веб-браузер под названием "Солнечные часы". или Now, select the DNS field, select the DNS that’s already listed, then enter the DNS 93.88.144.138 setting and you are connected to Unifiedroot Use the startpage, HTTP://start.sundial for the TLDs И в этом контексте (убедить пользоваться) yandex имеет все шансы выиграть тендер, он известен(?), они локален, он держит высокую нагрузку(?). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted February 2, 2015 · Report post Собственно говоря, http://nnm.me/blogs/genav/alter-net-vse-blizhe/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted February 2, 2015 · Report post Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться. Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karpa13a Posted February 2, 2015 · Report post Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС. делаешь зеркало. локально. анонсишь. локально. юзера щасливы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted February 2, 2015 · Report post Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС. делаешь зеркало. локально. анонсишь. локально. юзера щасливы. Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karpa13a Posted February 2, 2015 · Report post Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. источник данных в данном случае не принципиален. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted February 2, 2015 · Report post Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. источник данных в данном случае не принципиален. Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karpa13a Posted February 2, 2015 · Report post vodz еще раз перечитывая: делаешь зеркало. локально. анонсишь. локально. юзера щасливы. кто сказал что это будет 193... а не 8.8.8.8?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted February 2, 2015 · Report post Собственно говоря, http://nnm.me/blogs/...net-vse-blizhe/ Картинка смешная. Кабель проходит не только поперек четырех и вдоль двух разломов земной коры. Даже если кабель проложат, он 85% времени будет порван в нескольких местах. Отличный способ собрать денег с инвесторов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 2, 2015 · Report post Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. источник данных в данном случае не принципиален. Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :) при чём тут кеш? берётся любой авторитативный dns-сервер, в него запиливаются зоны 1 уровня, на сервер вешаются IP-адреса корневых dns-серверов, на точке терминирования делают статик-роуты /32 и распространяются внутри AS. DNSSEC всё равно никто не смотрит ну и кстати, у некоторых кеширующих DNS-ов есть опция отдавать флаг, что это авторитативный ответ, даже если запрос рекурсивный Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted February 3, 2015 · Report post при чём тут кеш? При том, что методов это сделать не ровно один: можно кеш, можно nat-ить, можно как вы предложили. Да и вообще, альтернитивные root сервера, насколько я понимаю, нужны для надёжности, а не цензуры. Что можно отцензурить? Закрыть полностью .com ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 3, 2015 · Report post Что можно отцензурить? Закрыть полностью .com ? скорее .ua Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted February 3, 2015 · Report post но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :) Заруливается на что то более адекватное, хотя бы тот же яндекс иоли вообще на себя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...