dxdt.ru: занимательный интернет-журнал

АРМС-ТАСС цитирует вице-премьера РФ Сергея Иванова:

В то же время Иванов напомнил, что первый полет машина совершила с двигателем от самолета предыдущего поколения, хотя и самого современного “4++”. “Так что вопрос о собственном двигателе для нового истребителя пока остается на повестке дня”, – сказал он.

Свежий пример, объясняющий, зачем на клиентской стороне нужна поддержка DNSSEC. На волне интереса к кириллическому домену РФ “Гарант-Парк-Телеком” (ГПТ) предлагает некое “тестирование” работы этого домена. Для “тестирования” как бы создан “первый сайт” в домене РФ под адресом “гарант-парк-телеком.рф”. Это при том, что домена РФ в глобальной DNS пока что нет – он не делегирован.

Журналисты уже (надеюсь, в шутку, а не от недостатка знаний) критикуют производителей браузеров, типа, те не умеют поддерживать кириллицу, потому что “первый сайт” ГПТ ни в каких браузерах не открывается. Вот, “Вебплланета” пишет:

[...] на практике сайт “гарант-парк-телеком.рф” не открывается ни в Internet Explorer, ни в Mozilla Firefox, ни в Chrome или Opera. Очевидно, разработчики браузеров совершенно не спешат включать распознавание кириллоговорящих доменов.

Конечно, сайт не открывается. Но браузеры тут ни при чём – просто в общепринятом сервисе DNS домена РФ нет, поэтому на запросы браузеров об адресации внутри этого домена никто не должен отвечать адресами сайтов. Что предлагает ГПТ? Довольно стандартное решение по созданию “альтернативных доменов верхнего уровня”: провайдерам, желающим “присоединиться к тестированию зоны”, просто нужно изменить настройки сервера DNS:

named.conf:

zone “XN–P1AI” {
type forward;
forward only;
forwarders { 89.111.167.17; };
};

Если излагать обычными словами: DNS-запросы об адресации внутри .РФ от резолверов пользователей провайдера, внёсшего подобные изменения, будут принудительно переправляться на “альтернативный” сервер ГПТ, который станет на них отвечать. Что, вообще говоря, нарушает формальные принципы построения глобальной DNS (но кому есть до этого дело?).

Давно известно, что используя DNS, провайдер может легко поместить своих интернет-пользователей в иной Интернет. Например, в таком Интернете могут работать домены РФ, которые ещё не введены в строй ICANN, а вместо несуществующих доменов, которые пользователь набрал по ошибке, – показываться какие-нибудь рекламные страницы (случай из практики других провайдеров). И только если на клиентской стороне появится DNSSEC, пользователи смогут как-то побороть подобные фокусы, потому что, в таком случае, валидность ответа можно проверить и “отсутствие запрошенного адреса” также удостоверяется.

Официальный кириллический домен для тестирования, созданный по всем правилам, доступен уже давно: http://пример.испытание/

Между тем, корневые серверы DNS начинают отдавать подписанные зоны – то есть, разворачивается DNSSEC (это технология удостоверения адресной информации в DNS с помощью цифровой подписи). 27 января ввели поддержку DNSSEC на L-Root (проверить может каждый, но пока что там ключи “подставные” используются).

К осени форсируют внедрение IPv6, потом потребуют подписывать анонсы BGP (это такой протокол, позволяющий организовать маршрутизацию между, грубо говоря, “независимыми” сетями), так что уже через пару-тройку лет все незаметно окажутся в новом Интернете.