DNSSEC и особенности развития технологий

У DNSSEC свои особенности. Так, эта технология вносит в древовидную структуру глобальной DNS хрупкость. Дело в том, что “обычная” DNS мало восприимчива к дефектам и ошибкам в реализации, а вот DNS с DNSSEC, из-за свойств используемой криптографии, напротив – очень сильно восприимчива. И древовидная структура тут только усиливает всякую проблему: авария в одной вершине дерева может привести к обрушению кучи ветвей.

DNSSEC, в имеющейся реализации, усиливает централизацию глобальной DNS, так как единство корня оказывается скреплено ещё и криптографическими ключами. На закате очередного “цивилизационного” этапа, в условиях наступления Нового Средневековья, такая централизация не обязательно составляет преимущество. Современные профильные концепции подразумевают управление доверием на уровне приложений для конечных пользователей и провайдеров сервисов для этих приложений: вот ключ сервера, а вот – ключ приложения, по этим ключам они узнают друг друга, транспорт, промежуточные узлы – это всё не так важно, когда Интернет нарезан на виртуальные интернеты, а тем более не важна степень централизации упомянутого транспорта.

С сугубо прикладной точки зрения, DNS с DNSSEC – это глубокая, непонятная технология: пользователь даже не имеет возможности кликнуть по кнопке “Всё равно продолжить”, поскольку, в случае сбоя, до контекста такой кнопки дело не доходит – сломался не сам привычный механизм, а пропало действие древнего, 16-битного, заклинания, вводившего в окружающую действительность законы работы механизма.

Будущее DNSSEC остаётся туманным.

Адрес записки: https://dxdt.ru/2024/02/10/12333/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 2

  • 1. 11th February 2024, 18:41 // Читатель beldmit написал:

    Процитирую себя любимого

    Про DNSSec. Он как лошадь, которая спереди кусается, а сзади лягается.
    Как положено криптографическому протоколу, он требует периодической смены ключей. Как положено DNS, он кеширует записи на некоторое время, от часов до недели. Поэтому если при смене ключей налажать, то, например, невалидные подписи в кеше останутся на вот это самое от нескольких часов до недели, и софт, который их проверят (который скорее всего не у вас на телефоне), вас никуда не пустит.

  • 2. 11th February 2024, 21:18 // Александр Венедюхин:

    Кеширование и DNSSEC – отдельная забава, да. Я тут заметил, как новости про “всё отключилось”, в результате недавней неприятности, появлялись точно по мере “увядания” локальных кешей.

Написать комментарий

Ваш комментарий:

Введите ключевое слово "3U1S1" латиницей СПРАВА НАЛЕВО (<--) без кавычек: (это необходимо для защиты от спама).

Если видите "капчу", то решите её. Это необходимо для отправки комментария ("капча" не применяется для зарегистрированных пользователей). Обычно, комментарии поступают на премодерацию, которая нередко занимает продолжительное время.