All streams
Search
Write a publication
Pull to refresh

Comments 14

Статья на 5+, но хотелось бы побольше почитать по практическим действиям — создать, подписать и т.д.
Rating is hidden
Дело в том, что по сути софта для DNSSec не так много, основные программы — Opendnssec (от компании с аналогичным названием) и dnssec-* (ISC). У первых удобнее управлять ключами, у вторых выше скорость подписи. Однако при небольших зонах (примерно до ста тысяч записей) разница в скорости не сильно заметна. Соответственно очевидным выбором (если зона не содержит миллионы записей) является Opendnssec, тем более, что со следующим релизом они собираются это отставание убрать.
Как пользоваться соответствующей софтиной лучше прочитать в документации; про софт, DLV, ключи, их ротацию и рекомендации я, если интересно, расскажу в следующий раз; а вот писать подробное хау-ту я бы не хотел — хаутушки на мой взгляд крайне отрицательное явление и использования их стоит избегать.
Rating is hidden
Это DNS серверы, авторитетный и рекурсивный, соответственно. Они не предоставляют средств управления ключами.
Ldns — это библиотека, в компании с ней идет несколько программ в качестве примеров. Конечно, если нет задачи автоматизировать ротацию, подписывание и не следить за временем жизни подписей, эти примеры можно использовать, но я надеюсь, Вы так делать не будете :).
Rating is hidden
Will DNSSEC bring down the certificate industry

кстати интересный факт может получиться, но не совсем — всё-таки перехват HTTP-данных требует защиты…
Rating is hidden
По сути DNSSEC — это система, похожая на систему сертификатов, только применённая к определённой области.
Конечно, она не заменит SSL и другие технологии с применением ассиметричной криптографии.
Rating is hidden
Безусловно, это не замена, но хорошее дополнение.
Rating is hidden
UFO landed and left these words here

да уж, актуальность этого поста стала зашкаливать.

Но всё же, некоторые старожилы хабра, осуждают комменты в некропостах.

Rating is hidden

Кстати - почему?
Особенно, если это не новость, а условно что-то нетлеющее?

Rating is hidden

Полагаю, что они считают такие комменты в старых темах не имеют смысла или актуальности.
Правда бывают исключения, когда даже старые темы могут стать интересными и актуальными в определенных контекстах.

Rating is hidden

Есть вещи не устаревающие, а есть (чаще нетехнические) статьи, которые сейчас читаешь и удивляешься как оно через несколько лет вывернулось.

Rating is hidden

Игрался с DNSSEC - польза сомнительная, зато при смене регистратора может "некрасиво" получиться. Я про то, что нужно сначала УДАЛИТЬ DNSSEC а уже потом уходить с Руцентра прочитал, когда переехал и как результат - мои DNSSEC ключики у регистартора НИКТО не зачистил и домен как бы есть, но для тех, кто юзает DNSSEC - его как бы нет :( Пришлось откатывать домен обратно на руцентр, удалять привязку к DNSSEC и уже после этого окончательно уходить!!! А БЕЗ привязки к регистратору технология не только теряет смысл, но и вредна т.к. выше было сказано - трафика нужно больше прокинуть, а это UDP и что то где то может не прочитаться... У меня условно 3 домена в зонах .ORG.RU, .SPB.RU, .RU - руцентр поддерживает DNSSEC для (.SPB.RU, .RU), а Reg.RU к которому я переехал, может подписать только .RU и соответственно .ORG.RU - переехал без проблем, у него как был ключ не прикреплённый к верхней зоне, так ему и ничем это и не помешало, домен остался легальным. А вот .SPB.RU, .RU - конкретно так перекосило т.е. они стали BOGUS и при попытке их резолвить на 8.8.8.8, 8.8.4.4., 1.1.1.1 - я получил пустоту вместо ip.
https://dnsviz.net - инструмент для анализа подписанной зоны, практически всё, что написано в статье, только наглядно в виде блоксхем. А в настоящее время, при "локализации" корневых зон с отрывом от реальных корней - DNSSEC - однозначно перекосит.
Так же я баловался с подписью локальных доменов локальных подсетей и обратную зону - забавно, но бессмысленно :-)

Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr