Кириллический домен РФ и “Гарант-Парк-Телеком”
Свежий пример, объясняющий, зачем на клиентской стороне нужна поддержка DNSSEC. На волне интереса к кириллическому домену РФ “Гарант-Парк-Телеком” (ГПТ) предлагает некое “тестирование” работы этого домена. Для “тестирования” как бы создан “первый сайт” в домене РФ под адресом “гарант-парк-телеком.рф”. Это при том, что домена РФ в глобальной DNS пока что нет – он не делегирован.
Журналисты уже (надеюсь, в шутку, а не от недостатка знаний) критикуют производителей браузеров, типа, те не умеют поддерживать кириллицу, потому что “первый сайт” ГПТ ни в каких браузерах не открывается. Вот, “Вебплланета” пишет:
[…] на практике сайт “гарант-парк-телеком.рф” не открывается ни в Internet Explorer, ни в Mozilla Firefox, ни в Chrome или Opera. Очевидно, разработчики браузеров совершенно не спешат включать распознавание кириллоговорящих доменов.
Конечно, сайт не открывается. Но браузеры тут ни при чём – просто в общепринятом сервисе DNS домена РФ нет, поэтому на запросы браузеров об адресации внутри этого домена никто не должен отвечать адресами сайтов. Что предлагает ГПТ? Довольно стандартное решение по созданию “альтернативных доменов верхнего уровня”: провайдерам, желающим “присоединиться к тестированию зоны”, просто нужно изменить настройки сервера DNS:
named.conf:
zone “XN–P1AI” {
type forward;
forward only;
forwarders { 89.111.167.17; };
};
Если излагать обычными словами: DNS-запросы об адресации внутри .РФ от резолверов пользователей провайдера, внёсшего подобные изменения, будут принудительно переправляться на “альтернативный” сервер ГПТ, который станет на них отвечать. Что, вообще говоря, нарушает формальные принципы построения глобальной DNS (но кому есть до этого дело?).
Давно известно, что используя DNS, провайдер может легко поместить своих интернет-пользователей в иной Интернет. Например, в таком Интернете могут работать домены РФ, которые ещё не введены в строй ICANN, а вместо несуществующих доменов, которые пользователь набрал по ошибке, – показываться какие-нибудь рекламные страницы (случай из практики других провайдеров). И только если на клиентской стороне появится DNSSEC, пользователи смогут как-то побороть подобные фокусы, потому что, в таком случае, валидность ответа можно проверить и “отсутствие запрошенного адреса” также удостоверяется.
Официальный кириллический домен для тестирования, созданный по всем правилам, доступен уже давно: http://пример.испытание/
Адрес записки: https://dxdt.ru/2010/02/03/2953/
Похожие записки:
- "Двухфакторная" аутентификация и Google Authenticator
- Техническое: ключи DNSSEC и их теги
- Реплика: интерпретация результатов интернет-измерений
- DNS и TCP
- Задержки пакетов, СУБД, TCP и РЛС
- Внешние библиотеки на сайтах и замена кода
- Подпись и использование ключей из TLS-сертификатов для веба
- DNSSEC и особенности развития технологий
- Метаинформация, мессенджеры и цепочки событий в трафике
- Chrome и УЦ Entrust
- Google и LLM ИИ в поиске