Jump to content
Калькуляторы

DNSSEC и альтернативные DNS Root сервера

Привет.

 

Недавно прочитав https://ru.wikipedia.org/wiki/DNSSEC и https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions подумал, что столь популярные еще недавно альтернативные корневые DNS не будут работать с DNSSEC (не смогут дать валидные ключи).

 

Ну, или если пофантазировать, вдруг если какая-либо страна захочет сделать свой интернет со своими корневыми серверами, то у неё это не получится без переподписывания своих DNS зон.

 

Или же я не разобрался и ошибаюсь?

Share this post


Link to post
Share on other sites

Можно пари делать, что быстрее будет - переход на IPv6 или DNSSEC в каждой кофеварке.

Share this post


Link to post
Share on other sites

столь популярные еще недавно альтернативные корневые DNS

 

что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены

Share this post


Link to post
Share on other sites

Да никто не смотрит на сигнатуры, ответы без них спокойно принимаются.

Наплодить своих корневых можно, только трафик придётся на них заворачивать.

 

Несомненно, IPv6 быстрее наступит чем клиенты станут смотреть на подписи в ответах.

Share this post


Link to post
Share on other sites

Уточним условия. Допустим, резолверы начали проверять подписи, а власти Кракозии завернули трафик. Домены в .КРАКОЗИЯ уже используют DNSSEC, как и другие TLD, например, .COM, .NET .

Share this post


Link to post
Share on other sites

Вы DNS вообще на клиентах настраивали?

 

Всё проблемы лягут на слишком ретивых провайдеров которые на своих резолверах включили этот самый dnssec. Выключат и всё наладится.

Конечные клиенты прекрасно жрут всё без всяких подписей из кешей своих роутеров которым сто лет в обед и кешей провайдеров.

 

Ну может гугель будет вякать, они там вечно свои сертификаты чекают и тп.

Share this post


Link to post
Share on other sites
столь популярные еще недавно альтернативные корневые DNS

 

что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены

По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс.

Share this post


Link to post
Share on other sites

По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс.

 

вряд ли. в топике четко паписано "альтернативные dns root сервера"

Share this post


Link to post
Share on other sites

Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться.

 

Альтернативные корневые серверы DNS

UnifiedRoot

Эффективно захватывает любые существующие TLD, по 50000 евро за первый год использования (12.500 евро за каждый последующий)

 

Чтобы разрешить пользователям Интернета в любой точке мира доступ к веб-сайтам с помощью доменных имен, связанных с TLD, зарегистрированных в Unifiedroot, мы создали новый веб-браузер под названием "Солнечные часы".

или

Now, select the DNS field, select the DNS that’s already listed, then enter the DNS 93.88.144.138 setting and you are connected to Unifiedroot

 

Use the startpage, HTTP://start.sundial for the TLDs

 

И в этом контексте (убедить пользоваться) yandex имеет все шансы выиграть тендер, он известен(?), они локален, он держит высокую нагрузку(?).

Share this post


Link to post
Share on other sites

Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться.

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

Share this post


Link to post
Share on other sites

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

Share this post


Link to post
Share on other sites

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

Share this post


Link to post
Share on other sites

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Share this post


Link to post
Share on other sites

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

Share this post


Link to post
Share on other sites

vodz еще раз перечитывая:

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

кто сказал что это будет 193... а не 8.8.8.8?)

Share this post


Link to post
Share on other sites
Собственно говоря, http://nnm.me/blogs/...net-vse-blizhe/

Картинка смешная. Кабель проходит не только поперек четырех и вдоль двух разломов земной коры.

 

Даже если кабель проложат, он 85% времени будет порван в нескольких местах.

 

Отличный способ собрать денег с инвесторов.

Share this post


Link to post
Share on other sites

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

 

при чём тут кеш? берётся любой авторитативный dns-сервер, в него запиливаются зоны 1 уровня, на сервер вешаются IP-адреса корневых dns-серверов, на точке терминирования делают статик-роуты /32 и распространяются внутри AS. DNSSEC всё равно никто не смотрит

 

ну и кстати, у некоторых кеширующих DNS-ов есть опция отдавать флаг, что это авторитативный ответ, даже если запрос рекурсивный

Share this post


Link to post
Share on other sites

при чём тут кеш?

При том, что методов это сделать не ровно один: можно кеш, можно nat-ить, можно как вы предложили.

 

Да и вообще, альтернитивные root сервера, насколько я понимаю, нужны для надёжности, а не цензуры. Что можно отцензурить? Закрыть полностью .com ?

Share this post


Link to post
Share on other sites
но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

Заруливается на что то более адекватное, хотя бы тот же яндекс иоли вообще на себя.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this