DNSSEC Validation — RuNET стал еще чуть более защищенным

[Pas]

DNSSec это не только ценный мех, но ещё и хороший маркер потенциальных манипуляций с зонами через пресловутую НСДИ.

[censor2005]

Можете подробнее раскрыть мысль? В DNSSEC, DS-записи домена размещаются в родительской зоне, причём тут НСДИ и манипуляция с зоной?

[Pas]

НСДИ отдаёт в том числе рутовую зону. Если вдруг версия рутовой зоны от НСДИ будет отличаться от оригинальной рутовой зоны, то валидация не пройдёт. Это для того случая, что кто-то валидирует у себя, а не использует НСДИ в качестве примитивных рекурсоров.

[eov]

Пока НСДИ ведет себя вполне прилично и отдает все честно. А вот если захотят что-то поменять в корневой зоне, то будет больно (сервера с включенной валидацией откажутся резолвить сломанную зону, ибо подписать её правильным ключом у НСДИ не получится).

[Pas]

Я уже как-то высказывал мнение (утопичное?) что НСДИ выглядит как удобный плацдарм для возвращения ГОСТовых криптоалгоритмов в DNSSec. Например, ГОСТ2012 или чего посвежее. Далее идёт кросс-подпись всех зон, которые обслуживаются НСДИ, такой подписью с ключиками в руках РКН/ТЦИ/Ростелекома, в том числе корневой. Далее обязаловка всех, кто обязан использовать НСДИ, отдавать приоритет в валидации именно ГОСТовой подписи.

[dendron]

А другой рукой эти же люди ловко запрещают DNS-over-TLS и TLS 3.0, потому что "порядочному гражданину нечего скрывать".