DNSSEC: продолжение на клиентских машинах

Достаточно давно я писал (в том числе, на страницах dxdt.ru) и рассказывал, что главный шаг на пути развёртывания DNSSEC – это массовое внедрение поддержки проверки подписей DNS на клиентские машины, а вовсе не подписывание корневой зоны. Понятно, что без подписи корня нет смысла продвигать DNSSEC на клиентов Интернета, потому что теряется возможность центрального контроля адресации в разросшейся Сети. Но важен как раз следующий шаг – новые резолверы на клиентских машинах (а не на серверах DNS), которые, например, не позволят интернет-провайдерам подмешивать всякую ерунду в DNS-ответы своим клиентам.

Собственно, теперь, когда зону успешно подписали, о втором шаге рассказывает уже ICANN: в официальном блоге пишут про предложенный Деном Камински (Dan Kaminsky) инструментарий, внедряющий поддержку DNSSEC на стороне браузера (например, упоминают “частную” версию Google Chrome, полностью поддерживающую DNSSEC) и почтового клиента. Собственно, это правильно.

До нового Интернета остались такие шаги (думаю, в таком порядке, как они перечислены дальше): DNSSEC на клиентах (года два на выполнение), строгое подписывание анонсов BGP и криптографическое удостоверение AS-ок (три-пять лет), переход подавляющей части трафика на IPv6 (пять-семь лет). А может даже и раньше.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 5th August 2010, 15:15 // Читатель jno написал:

    IPv6, пожалуй, раньше нарисуется – под него же, практически, давно уже всё есть. И есть требование правительства “пупа земли” о переходе его контракторов (а это – почти все наиболее жирные лавки мира) на IPv6, что называется “прям щаз”. В общем и целом – все условия, считай, соблюдены – и необходимость есть, и достаточность…

  • 2. 6th August 2010, 22:13 // Читатель sarin написал:

    а чем новый Интернет будет лучше старого?

    на мой взгляд все эти шаги похожи на багфикс тех вещей о которых просто не подумали при строительстве нынешнего интернета. IPv6 и DNSSEC должны бы, по идее, сделать Интернет безопасней. но ведь львиная доля атак базируется не на технических уязвимостях, а на человеческом факторе.

    я ни в коем случае не спорю, что все эти изменения нужны.

  • 3. 10th August 2010, 14:24 // Читатель jno написал:

    > чем новый Интернет будет лучше старого?

    IPv6 хорош уж тем, что сильно упрощает маршрутизацию.

    А “неподумали” – это сильно сказано.
    Скорее то, что “придумали” стали использовать не по назначению! :)