Техническое: домен mil. и DNSSEC
В среду с доменом MIL (это зона для военных структур США) приключилась глобальная проблема: сломалась цепочка DNSSEC, так как опубликованная в корневой зоне DS-запись не соответствовала ключу KSK, опубликованному в зоне MIL. Это означает, что валидирующий резолвер должен выдавать ошибку валидации – и ресурсы, размещённые в зоне, для клиентов такого резолвера оказываются недоступны. Как минимум, нарушилась цепочка, ведущая к глобальному ключу IANA. Интересно, что мало кто проблему вообще заметил, а чинили более 12 часов (связано с кешированием и регламентом обновления зон). Возможно, конечно, что внутри пентагоновских сетей используется другой корневой ключ и другой набор DNS-записей для валидирования – соответственно, их резолверы продолжали работать. На мой взгляд, более вероятно, что DNSSEC там на рекурсивных резолверах просто не используют, как и практически во всём остальном мире.
(Причиной “расклеивания” цепочки могли явиться изменения в настройках серверов имён, либо замена самих серверов, в результате, наружу вылез “не тот ключ”, DS-запись при этом осталась старой. Но это просто догадки.)
Адрес записки: https://dxdt.ru/2015/12/11/7767/
Похожие записки:
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- ESNI (зашифрованное поле SNI) и системы анализа трафика
- Обновление описания TLS
- TLS: выбор сертификата по УЦ в зависимости от браузера
- Статья про защиту DNS-доступа
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Удостоверяющий центр TLS ТЦИ
- Перехват TLS в Казахстане - продолжение истории
- Ретроспектива заметок: сентябрь 2013 года
- "Внешний ИИ" масштаба Apple
- Недокументированные возможности автомобильного ПО
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (