Перейти к содержимому
Калькуляторы

DNSSEC и альтернативные DNS Root сервера

Привет.

 

Недавно прочитав https://ru.wikipedia.org/wiki/DNSSEC и https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions подумал, что столь популярные еще недавно альтернативные корневые DNS не будут работать с DNSSEC (не смогут дать валидные ключи).

 

Ну, или если пофантазировать, вдруг если какая-либо страна захочет сделать свой интернет со своими корневыми серверами, то у неё это не получится без переподписывания своих DNS зон.

 

Или же я не разобрался и ошибаюсь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно пари делать, что быстрее будет - переход на IPv6 или DNSSEC в каждой кофеварке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

столь популярные еще недавно альтернативные корневые DNS

 

что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да никто не смотрит на сигнатуры, ответы без них спокойно принимаются.

Наплодить своих корневых можно, только трафик придётся на них заворачивать.

 

Несомненно, IPv6 быстрее наступит чем клиенты станут смотреть на подписи в ответах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уточним условия. Допустим, резолверы начали проверять подписи, а власти Кракозии завернули трафик. Домены в .КРАКОЗИЯ уже используют DNSSEC, как и другие TLD, например, .COM, .NET .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы DNS вообще на клиентах настраивали?

 

Всё проблемы лягут на слишком ретивых провайдеров которые на своих резолверах включили этот самый dnssec. Выключат и всё наладится.

Конечные клиенты прекрасно жрут всё без всяких подписей из кешей своих роутеров которым сто лет в обед и кешей провайдеров.

 

Ну может гугель будет вякать, они там вечно свои сертификаты чекают и тп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

столь популярные еще недавно альтернативные корневые DNS

 

что это? я слышал про какие-то липовые домены .ру, .ком и ещё что-то подобное(но не представляю себе как ими пользоваться), но такое ведь любой Денис Попов может сделать и сказать, чтоб у него покупали домены

По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По контексту имеется в виду альтернативные бесплатные DNS dns.yandex.ru 8.8.8.8 skydns.ru opendns.com dns.norton.com dns.he.net еtс.

 

вряд ли. в топике четко паписано "альтернативные dns root сервера"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться.

 

Альтернативные корневые серверы DNS

UnifiedRoot

Эффективно захватывает любые существующие TLD, по 50000 евро за первый год использования (12.500 евро за каждый последующий)

 

Чтобы разрешить пользователям Интернета в любой точке мира доступ к веб-сайтам с помощью доменных имен, связанных с TLD, зарегистрированных в Unifiedroot, мы создали новый веб-браузер под названием "Солнечные часы".

или

Now, select the DNS field, select the DNS that’s already listed, then enter the DNS 93.88.144.138 setting and you are connected to Unifiedroot

 

Use the startpage, HTTP://start.sundial for the TLDs

 

И в этом контексте (убедить пользоваться) yandex имеет все шансы выиграть тендер, он известен(?), они локален, он держит высокую нагрузку(?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собственно говоря, http://nnm.me/blogs/genav/alter-net-vse-blizhe/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, принципиально то не большая разница. :) Кто угодно может сделать root DNS. будет работать без всякого DNSSEC. главное убедить им пользоваться.

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Погодите-погодите. Тут же специальный форум. Нужно же не убеждать им пользоваться, а договорится, чтобы соседи корневики на него ссылались в корневой зоне. То есть в реальности проще сделать зеркало корневого сервера, как в РосНИИРОС.

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vodz еще раз перечитывая:

делаешь зеркало. локально. анонсишь. локально. юзера щасливы.

кто сказал что это будет 193... а не 8.8.8.8?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собственно говоря, http://nnm.me/blogs/...net-vse-blizhe/

Картинка смешная. Кабель проходит не только поперек четырех и вдоль двух разломов земной коры.

 

Даже если кабель проложат, он 85% времени будет порван в нескольких местах.

 

Отличный способ собрать денег с инвесторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Анонсишь? То есть речь о кеширующем сервере провайдера? Это совсем-совсем не то.

источник данных в данном случае не принципиален.

Без подписи будет работать, только если зарулить обращение пользователей ко всем этим однобуквенным корневым серверам к вашему эмулятору корневых серверов. С dsnsec и это не удасться. Ну а кеширующий по определению не является авторизованным. На первую же проблему, совсем от вас независящую, когда у всех супер-пупер авторизованных какая-либо зона отвалится, но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

 

при чём тут кеш? берётся любой авторитативный dns-сервер, в него запиливаются зоны 1 уровня, на сервер вешаются IP-адреса корневых dns-серверов, на точке терминирования делают статик-роуты /32 и распространяются внутри AS. DNSSEC всё равно никто не смотрит

 

ну и кстати, у некоторых кеширующих DNS-ов есть опция отдавать флаг, что это авторитативный ответ, даже если запрос рекурсивный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

при чём тут кеш?

При том, что методов это сделать не ровно один: можно кеш, можно nat-ить, можно как вы предложили.

 

Да и вообще, альтернитивные root сервера, насколько я понимаю, нужны для надёжности, а не цензуры. Что можно отцензурить? Закрыть полностью .com ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что можно отцензурить? Закрыть полностью .com ?

 

скорее .ua

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но на 8.8.8.8 останется - появятся умники, которые будут катить бочку на ваш кеширующий dns и рекомендовать сменить на 8.8.8.8 :)

Заруливается на что то более адекватное, хотя бы тот же яндекс иоли вообще на себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.