Jump to content
Калькуляторы

LIRам - о DNSSEC RIPE & DNS

Коллеги - я решил написать сюда по двум причинам

 

1. Большинство здесь LIR-ы

2. Большинство российских LIR-ов (contact persons) от многих списков ripe отписалось или сливает их в /dev/null

 

Поэтому перепечатываю письмо из списка рассылки

 

 

9 октября USG DoC NTIA объявила о консультациях по внедрению DNSSEC.

http://www.ntia.doc.gov/DNS/DNSSEC.html

(рекомендую прочитать и комментарии)

 

Все это может иметь последствия для нас. ( В этом посте вдаваться не буду - можно отдельно обсудить.)

 

За последние недели это широко обсуждалось в RIPE коммьюнити -

как в DNS WG, так и на последнем RIPE митинге.

 

В результате был подготовлен следующий комментарий-заявление в адрес

NTIA.

На мой взгляд он получился сбалансированным и отражает и наши интересы и потенциальные болячки.

 

Сейчас заканчивается финальное обсуждение-принятие этого заявления

в ripe-list@ripe.net

 

Предлагаю вам высказать в этот список (ripe-list) вашу точку зрения - поддерживаете или нет.

 

Дмитрий Бурков

PS1: хотелось бы знать, кто разбирается в dnssec - пока у меня представление, что катастрофически мало людей, разбирающихся в теме

 

PS2: Это текст с переводом - в конце просто оригинал письма:

 

 

The RIPE community thanks the NTIA for its consultation on proposals

to sign the root and is pleased to offer the following response to

that consultation. We urge the adoption of a solution that leads to

the prompt introduction of a signed root zone. Our community considers

the introduction of a signed root zone to be an essential enabling

step towards widespread deployment of Secure DNS, DNSSEC. This view

is supported by the letter from the RIPE community to ICANN as an

outcome of discussions at the May 2007 RIPE meeting in Tallinn:

http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf.

 

It is to be expected that a community as diverse as RIPE cannot have a

unified set of detailed answers to the NTIA questionnaire. However

several members of the RIPE community will be individually responding

to that questionnaire. We present the following statement as the

consensus view of our community about the principles that should form

the basis of the introduction of a signed DNS root.

Сообщество RIPE благодарит NTIA за организацию консультаций по вопросу подписания корневой зоны и с радостью предлагает свой ответ. Мы призываем принять решение о скорейшем подписании корневой зоны. Наше сообщество считает, что подписание корневой зоны – это необходимый и своевременный шаг на пути к масштабному вводу DNSSEC как средства защиты DNS. Эта точка зрения поддержана письмом от участников сообщества RIPE в адрес ICANN как резальтат дискуссии на встрече RIPE в Таллине, май 2007:

http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf.

 

Ожидается, что сообщество, не менее разнообразное чем RIPE, не может иметь единой точки зрения в ответах на вопросы, предложенные в вопроснике NTIA. Ведь все члены RIPE будут отвечать на эти вопросы по отдельности. Мы предлагаем следующие положения, как собирательное мнение сообщества (рабочей группы DNS) по поводу основных принципов, которые должны лечь в основу внедрения подписания корневой зоны.

 

1. Secure DNS, DNSSEC, is about data authenticity and integrity and

not about control.

 

1. DNSSEC предназначен для обеспечения целостности данных и защиты подлинности в DNS, а не для контроля.

 

2. The introduction of DNSSEC to the root zone must be made in such a

way that it is accepted as a global initiative.

 

2. Внедрение DNSSEC в корневой зоне должно быть сделано так, чтобы оно было принято как глобальная инициатива.

 

3. Addition of DNSSEC to the root zone must be done in a way that does

not compromise the security and stability of the Domain Name System.

 

3. Внедрение DNSSEC в корневой зоне должно быть произведено таким образом, чтобы это не привело к нарушению стабильности и безопасности системы доменных имен (DNS).

 

4. When balancing the various concerns about signing the root zone,

the approach must provide an appropriate level of trust and confidence

by offering an optimally secure solution.

 

4. Сопоставляя различные варианты подписания корневой зоны необходимо учитывать, что выбранный путь должен быть максимально безопасным с технической точки зрения.

 

5. Deployment of a signed root should be done in a timely but not

hasty manner.

 

5. Подписание корневой зоны должно быть сделано без излишней торопливости.

 

6. Updates from TLD operators relating to DNSSEC should be aligned

with the operational mechanisms for co-ordinating changes to the root

zone.

 

6. Для проведения своевременного обслуживания любые изменения, связанные с DNSSEC, должны быть проведены в соответствии с текущими процессами, ведущимися по координированию корневой зоны. Однако эти изменения должны обеспечивать достаточную гибкость процессов в целях их возможного изменения .

 

 

7. If any procedural changes are introduced by the deployment of

DNSSEC they should provide sufficient flexibility to allow for the

roles and processes as well as the entities holding those roles to be

changed after suitable consultations have taken place.

 

 

7. Если в следствии внедрения DNSSEC будут изменены процедуры, эти изменения должны обеспечить достаточную гибкость, чтобы после соответствующих консультаций провести изменения не только в ролях и процессах, но и в субъектах, за которыми эти роли закреплены.

 

8. Policies and processes for signing the root zone must be

transparent and trustworthy, making it straightforward for TLDs to

supply keys and credentials so the delegations for those TLDs can

benefit from a common DNSSEC trust anchor, the signed root.

 

8. Политики и процессы подписания корневой зоны должны быть прозрачными и вызывающими доверие, стимулируя домены верхнего уровня предоставить ключи и полномочия , для того чтобы делегирования для доменов верхнего уровня могли бы принести пользу от наличия общей точки доверия DNSSEC , подписанной корневой зоной.

 

9. There is no technical justification to create a new organisation to

oversee the process of signing of the root.

 

9. Не существует никаких технических обоснований для создания новой организации по контролю подписания корневой зоны.

 

10. No data should be moved between organisations without appropriate

authenticity and integrity checking, particularly the flow of keying

material between a TLD operator and the entity that signs the root.

 

 

10. Данные не должны передаваться между организациями без соответствующей проверки на подлинность и целостность.

 

11. The public part of the key signing key must be distributed as

widely as possible.

 

11. Публичная часть ключа должна быть распространена настолько широко, насколько это возможно.

 

12. The organisation that generates the root zone file must sign the

file and therefore hold the private part of the zone signing key.

 

 

12. Организация, которая генерирует файл корневой зоны, должна подписывать файл и хранить закрытую часть ключа (закрытый ключ) подписи зоны.

 

13. Changes to the entities and roles in the signing process must not

necessarily require a change of keys.

 

13. Смена организаций и изменения ролей процесса подписания не обязательно должны требовать смены ключей.

 

 

 

Оригинал

 

Subject:

Call for Support: RIPE response to the US NTIA's NoI

From:

Peter Koch <pk@DENIC.DE>

Date:

Fri, 14 Nov 2008 23:59:09 +0100

To:

ripe-list@ripe.net

 

Dear RIPE Community,

 

as mentioned in my email sent on Monday, the DNS working group has come

up with a response to the US NTIA's Notice of Inquiry (NoI) regarding

the introduction of DNSSEC for the DNS root zone (for details see

<http://www.ntia.doc.gov/DNS/DNSSEC.html>).

 

The text below reflects the consensus of the DNS working group.

 

As a follow up to our earlier efforts (see below), the DNS WG suggests that

the response to the NTIA come from the broader RIPE community. So, this is

the DNS WG's request for your support and endorsement of the proposal.

 

Please read the text and voice your support or opposition. As mentioned

earlier, we will have to meet an external deadline. Therefore, we are not

looking for editorial suggestions. Regrettably, it is impractical to further

refine or reword the text, since that would require more editing cycles and

new consensus calls, which time won't permit.

The WG chairs' collective and the RIPE Chair have agreed that it needs

a binary decision on the proposal as presented here.

 

It is possible that the text doesn't represent the optimum for everyone.

Still, please consider whether you can support it as a community statement.

In any case, the NoI is open for anybody, so you might want to send

your individual response and/or contribute to other group efforts, as well.

 

Clarifying questions are welcome, probably best asked on the DNS WG mailing

list or to the DNS WG co-chairs <http://www.ripe.net/ripe/wg/dns/index.html>.

 

Given the 24 Nov deadline and to allow some time for the evalutaion of the

list traffic, you are kindly asked to send your explicit statements to this

list no later than

 

Friday, 21 Nov 2008 12:00 UTC.

 

Thanks in advance for your consideration!

 

-Peter Koch [DNS WG co-chair]

 

-----------------------------------------------------------------------------

 

#

# $Id: ntia-draft,v 1.9 2008/11/13 20:20:41 jim Exp $

#

 

The RIPE community thanks the NTIA for its consultation on proposals

to sign the root and is pleased to offer the following response to

that consultation. We urge the adoption of a solution that leads to

the prompt introduction of a signed root zone. Our community considers

the introduction of a signed root zone to be an essential enabling

step towards widespread deployment of Secure DNS, DNSSEC. This view

is supported by the letter from the RIPE community to ICANN as an

outcome of discussions at the May 2007 RIPE meeting in Tallinn:

http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf.

 

It is to be expected that a community as diverse as RIPE cannot have a

unified set of detailed answers to the NTIA questionnaire. However

several members of the RIPE community will be individually responding

to that questionnaire. We present the following statement as the

consensus view of our community about the principles that should form

the basis of the introduction of a signed DNS root.

 

1. Secure DNS, DNSSEC, is about data authenticity and integrity and

not about control.

 

2. The introduction of DNSSEC to the root zone must be made in such a

way that it is accepted as a global initiative.

 

3. Addition of DNSSEC to the root zone must be done in a way that does

not compromise the security and stability of the Domain Name System.

 

4. When balancing the various concerns about signing the root zone,

the approach must provide an appropriate level of trust and confidence

by offering an optimally secure solution.

 

5. Deployment of a signed root should be done in a timely but not

hasty manner.

 

6. Updates from TLD operators relating to DNSSEC should be aligned

with the operational mechanisms for co-ordinating changes to the root

zone.

 

7. If any procedural changes are introduced by the deployment of

DNSSEC they should provide sufficient flexibility to allow for the

roles and processes as well as the entities holding those roles to be

changed after suitable consultations have taken place.

 

8. Policies and processes for signing the root zone must be

transparent and trustworthy, making it straightforward for TLDs to

supply keys and credentials so the delegations for those TLDs can

benefit from a common DNSSEC trust anchor, the signed root.

 

9. There is no technical justification to create a new organisation to

oversee the process of signing of the root.

 

10. No data should be moved between organisations without appropriate

authenticity and integrity checking, particularly the flow of keying

material between a TLD operator and the entity that signs the root.

 

11. The public part of the key signing key must be distributed as

widely as possible.

 

12. The organisation that generates the root zone file must sign the

file and therefore hold the private part of the zone signing key.

 

13. Changes to the entities and roles in the signing process must not

necessarily require a change of keys.

 

-----------------------------------------

 

Share this post


Link to post
Share on other sites

Проголосовал. Я смотрю, из наших в NTIA Ondřej Surý туда приличный комментарий заслал. Ну CZNic в этом вопросе почти пионеры.

Share this post


Link to post
Share on other sites

Уже сейчас большинство корневых DNS используют DNSSEC (вроде бы только один неиспользующий остался). Кто-то заметил? А ведь это большая и серьезная работа.

Share this post


Link to post
Share on other sites
5го мая 2010 планируется все корневые DNS перевести на работу только по DNSSEC пруф:

А даты перехода интернета на ipv6 у вас нет случайно? :)

 

Share this post


Link to post
Share on other sites
5го мая 2010 планируется все корневые DNS перевести на работу только по DNSSEC пруф:

А даты перехода интернета на ipv6 у вас нет случайно? :)

совпадает с датой второго пришествия.

Share this post


Link to post
Share on other sites
совпадает с датой второго пришествия.

я бы сказал, это оно и будет

Share this post


Link to post
Share on other sites
5го мая 2010 планируется все корневые DNS перевести на работу только по DNSSEC пруф:

А даты перехода интернета на ipv6 у вас нет случайно? :)

совпадает с датой второго пришествия.

занес в цитатник.

+100

))))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this