Pull to refresh

Comments 8

Статья на 5+, но хотелось бы побольше почитать по практическим действиям — создать, подписать и т.д.
Дело в том, что по сути софта для DNSSec не так много, основные программы — Opendnssec (от компании с аналогичным названием) и dnssec-* (ISC). У первых удобнее управлять ключами, у вторых выше скорость подписи. Однако при небольших зонах (примерно до ста тысяч записей) разница в скорости не сильно заметна. Соответственно очевидным выбором (если зона не содержит миллионы записей) является Opendnssec, тем более, что со следующим релизом они собираются это отставание убрать.
Как пользоваться соответствующей софтиной лучше прочитать в документации; про софт, DLV, ключи, их ротацию и рекомендации я, если интересно, расскажу в следующий раз; а вот писать подробное хау-ту я бы не хотел — хаутушки на мой взгляд крайне отрицательное явление и использования их стоит избегать.
Это DNS серверы, авторитетный и рекурсивный, соответственно. Они не предоставляют средств управления ключами.
Ldns — это библиотека, в компании с ней идет несколько программ в качестве примеров. Конечно, если нет задачи автоматизировать ротацию, подписывание и не следить за временем жизни подписей, эти примеры можно использовать, но я надеюсь, Вы так делать не будете :).
Will DNSSEC bring down the certificate industry

кстати интересный факт может получиться, но не совсем — всё-таки перехват HTTP-данных требует защиты…
По сути DNSSEC — это система, похожая на систему сертификатов, только применённая к определённой области.
Конечно, она не заменит SSL и другие технологии с применением ассиметричной криптографии.
Безусловно, это не замена, но хорошее дополнение.
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.