DNSSec: Что такое и зачем

[shadowalone]

Статья на 5+, но хотелось бы побольше почитать по практическим действиям — создать, подписать и т.д.

[karkarramba]

Дело в том, что по сути софта для DNSSec не так много, основные программы — Opendnssec (от компании с аналогичным названием) и dnssec-* (ISC). У первых удобнее управлять ключами, у вторых выше скорость подписи. Однако при небольших зонах (примерно до ста тысяч записей) разница в скорости не сильно заметна. Соответственно очевидным выбором (если зона не содержит миллионы записей) является Opendnssec, тем более, что со следующим релизом они собираются это отставание убрать.
Как пользоваться соответствующей софтиной лучше прочитать в документации; про софт, DLV, ключи, их ротацию и рекомендации я, если интересно, расскажу в следующий раз; а вот писать подробное хау-ту я бы не хотел — хаутушки на мой взгляд крайне отрицательное явление и использования их стоит избегать.

[estet]

забыли nsd — whyscream.net/wiki/index.php/Dnssec_howto_with_NSD_and_ldns
и unbound — www.unbound.net/documentation/howto_anchor.html

[karkarramba]

Это DNS серверы, авторитетный и рекурсивный, соответственно. Они не предоставляют средств управления ключами.
Ldns — это библиотека, в компании с ней идет несколько программ в качестве примеров. Конечно, если нет задачи автоматизировать ротацию, подписывание и не следить за временем жизни подписей, эти примеры можно использовать, но я надеюсь, Вы так делать не будете :).

[lehha]

Will DNSSEC bring down the certificate industry

кстати интересный факт может получиться, но не совсем — всё-таки перехват HTTP-данных требует защиты…

[Andrew1000000]

По сути DNSSEC — это система, похожая на систему сертификатов, только применённая к определённой области.
Конечно, она не заменит SSL и другие технологии с применением ассиметричной криптографии.

[karkarramba]

Безусловно, это не замена, но хорошее дополнение.

[Grigory_Otrepyev]

Судя по "читают сейчас" - техподдержка рос-кто-там-уронил-днс - ищет лекарство
https://habr.com/ru/news/790188/

[windweb]

да уж, актуальность этого поста стала зашкаливать.

Но всё же, некоторые старожилы хабра, осуждают комменты в некропостах.

[p07a1330]

Кстати - почему?
Особенно, если это не новость, а условно что-то нетлеющее?

[windweb]

Полагаю, что они считают такие комменты в старых темах не имеют смысла или актуальности.
Правда бывают исключения, когда даже старые темы могут стать интересными и актуальными в определенных контекстах.

[Javian]

Есть вещи не устаревающие, а есть (чаще нетехнические) статьи, которые сейчас читаешь и удивляешься как оно через несколько лет вывернулось.