DNSSEC: продолжение на клиентских машинах
Достаточно давно я писал (в том числе, на страницах dxdt.ru) и рассказывал, что главный шаг на пути развёртывания DNSSEC – это массовое внедрение поддержки проверки подписей DNS на клиентские машины, а вовсе не подписывание корневой зоны. Понятно, что без подписи корня нет смысла продвигать DNSSEC на клиентов Интернета, потому что теряется возможность центрального контроля адресации в разросшейся Сети. Но важен как раз следующий шаг – новые резолверы на клиентских машинах (а не на серверах DNS), которые, например, не позволят интернет-провайдерам подмешивать всякую ерунду в DNS-ответы своим клиентам.
Собственно, теперь, когда зону успешно подписали, о втором шаге рассказывает уже ICANN: в официальном блоге пишут про предложенный Деном Камински (Dan Kaminsky) инструментарий, внедряющий поддержку DNSSEC на стороне браузера (например, упоминают “частную” версию Google Chrome, полностью поддерживающую DNSSEC) и почтового клиента. Собственно, это правильно.
До нового Интернета остались такие шаги (думаю, в таком порядке, как они перечислены дальше): DNSSEC на клиентах (года два на выполнение), строгое подписывание анонсов BGP и криптографическое удостоверение AS-ок (три-пять лет), переход подавляющей части трафика на IPv6 (пять-семь лет). А может даже и раньше.
Адрес записки: https://dxdt.ru/2010/08/05/3364/
Похожие записки:
- Персоны и идентификаторы
- Реплика: номера портов и работа Интернета
- Техническое: имена в TLS и Nginx
- Техническое: добавления по MX на сервисе audit.statdom.ru
- Обновление описания TLS
- Техническое: где в ECDSA эллиптическая кривая
- Модули DH в приложении Telegram и исходный код
- Полностью зашифрованные протоколы в Интернете
- "Почти что коллизия" и хеш-функции
- Подпись и использование ключей из TLS-сертификатов для веба
- Apple и центральные ИИ-агенты
Комментарии читателей блога: 3
1 <t> // 5th August 2010, 15:15 // Читатель jno написал:
IPv6, пожалуй, раньше нарисуется – под него же, практически, давно уже всё есть. И есть требование правительства “пупа земли” о переходе его контракторов (а это – почти все наиболее жирные лавки мира) на IPv6, что называется “прям щаз”. В общем и целом – все условия, считай, соблюдены – и необходимость есть, и достаточность…
2 <t> // 6th August 2010, 22:13 // Читатель sarin написал:
а чем новый Интернет будет лучше старого?
на мой взгляд все эти шаги похожи на багфикс тех вещей о которых просто не подумали при строительстве нынешнего интернета. IPv6 и DNSSEC должны бы, по идее, сделать Интернет безопасней. но ведь львиная доля атак базируется не на технических уязвимостях, а на человеческом факторе.
я ни в коем случае не спорю, что все эти изменения нужны.
3 <t> // 10th August 2010, 14:24 // Читатель jno написал:
> чем новый Интернет будет лучше старого?
IPv6 хорош уж тем, что сильно упрощает маршрутизацию.
А “неподумали” – это сильно сказано.
Скорее то, что “придумали” стали использовать не по назначению! :)