MMM Опубликовано 11 января, 2015 · Жалоба Привет. Недавно прочитав https://ru.wikipedia.org/wiki/DNSSEC и https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions подумал, что столь популярные еще недавно альтернативные корневые DNS не будут работать с DNSSEC (не смогут дать валидные ключи). Ну, или если пофантазировать, вдруг если какая-либо страна захочет сделать свой интернет со своими корневыми серверами, то у неё это не получится без переподписывания своих DNS зон. Или же я не разобрался и ошибаюсь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 11 января, 2015 · Жалоба Можно пари делать, что быстрее будет - переход на IPv6 или DNSSEC в каждой кофеварке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 января, 2015 · Жалоба столь популярные еще недавно альтернативные корневые DNS что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2015 · Жалоба Да никто не смотрит на сигнатуры, ответы без них спокойно принимаются. Наплодить своих корневых можно, только трафик придётся на них заворачивать. Несомненно, IPv6 быстрее наступит чем клиенты станут смотреть на подписи в ответах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 11 января, 2015 · Жалоба Уточним условия. Допустим, резолверы начали проверять подписи, а власти Кракозии завернули трафик. Домены в .КРАКОЗИЯ уже используют DNSSEC, как и другие TLD, например, .COM, .NET . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2015 · Жалоба Вы DNS вообще на клиентах настраивали? Всё проблемы лягут на слишком ретивых провайдеров которые на своих резолверах включили этот самый dnssec. Выключат и всё наладится. Конечные клиенты прекрасно жрут всё без всяких подписей из кешей своих роутеров которым сто лет в обед и кешей провайдеров. Ну может гугель будет вякать, они там вечно свои сертификаты чекают и тп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 12 января, 2015 · Жалоба столь популярные еще недавно альтернативные корневые DNS что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 января, 2015 · Жалоба По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс. вряд ли. в топике четко паписано "альтернативные dns root сервера" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 12 января, 2015 · Жалоба Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться. Альтернативные корневые серверы DNS UnifiedRoot Эффективно захватывает любые существующие TLD, по 50000 евро за первый год использования (12.500 евро за каждый последующий) Чтобы разрешить пользователям Интернета в любой точке мира доступ к веб-сайтам с помощью доменных имен, связанных с TLD, зарегистрированных в Unifiedroot, мы создали новый веб-браузер под названием "Солнечные часы". или Now, select the DNS field, select the DNS that’s already listed, then enter the DNS 93.88.144.138 setting and you are connected to Unifiedroot Use the startpage, HTTP://start.sundial for the TLDs И в этом контексте (убедить пользоваться) yandex имеет все шансы выиграть тендер, он известен(?), они локален, он держит высокую нагрузку(?). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 2 февраля, 2015 · Жалоба Собственно говоря, http://nnm.me/blogs/genav/alter-net-vse-blizhe/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 2 февраля, 2015 · Жалоба Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться. Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 2 февраля, 2015 · Жалоба Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС. делаешь зеркало. локально. анонсишь. локально. юзера щасливы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 2 февраля, 2015 · Жалоба Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС. делаешь зеркало. локально. анонсишь. локально. юзера щасливы. Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 2 февраля, 2015 · Жалоба Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. источник данных в данном случае не принципиален. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 2 февраля, 2015 · Жалоба Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. источник данных в данном случае не принципиален. Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 2 февраля, 2015 · Жалоба vodz еще раз перечитывая: делаешь зеркало. локально. анонсишь. локально. юзера щасливы. кто сказал что это будет 193... а не 8.8.8.8?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 2 февраля, 2015 · Жалоба Собственно говоря, http://nnm.me/blogs/...net-vse-blizhe/ Картинка смешная. Кабель проходит не только поперек четырех и вдоль двух разломов земной коры. Даже если кабель проложат, он 85% времени будет порван в нескольких местах. Отличный способ собрать денег с инвесторов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 2 февраля, 2015 · Жалоба Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то. источник данных в данном случае не принципиален. Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :) при чём тут кеш? берётся любой авторитативный dns-сервер, в него запиливаются зоны 1 уровня, на сервер вешаются IP-адреса корневых dns-серверов, на точке терминирования делают статик-роуты /32 и распространяются внутри AS. DNSSEC всё равно никто не смотрит ну и кстати, у некоторых кеширующих DNS-ов есть опция отдавать флаг, что это авторитативный ответ, даже если запрос рекурсивный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 3 февраля, 2015 · Жалоба при чём тут кеш? При том, что методов это сделать не ровно один: можно кеш, можно nat-ить, можно как вы предложили. Да и вообще, альтернитивные root сервера, насколько я понимаю, нужны для надёжности, а не цензуры. Что можно отцензурить? Закрыть полностью .com ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 февраля, 2015 · Жалоба Что можно отцензурить? Закрыть полностью .com ? скорее .ua Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 февраля, 2015 · Жалоба но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :) Заруливается на что то более адекватное, хотя бы тот же яндекс иоли вообще на себя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...