Макс, в рамках борьбы с тем, что ты называешь цензурой, как раз и надо развивать DNSSEC. Так шо прекрати фантазировать и начни делать ;-) -- /doka, on the run
On Jun 15, 2017, at 22:52, Max Tulyev
wrote: Hi!
Напомню, что у нас в стране есть цензура, в том числе и по DNS, которая с DNSSEC как правило не совместима. Так что забейте на развитие DNSSEC в Украине, как минимум, до следующего Майдана.
On 15.06.17 19:37, Taras Heychenko wrote: Hi! Статистика говорит, что в Украине DNSSEC используется не очень активно. Тем не менее в мире оно распространено чуть шире, и у многих провайдров может стоять валидирующий резолвер, который проверяет DNSSEC. Приведу здесь перевод письма от ICANN, посвященный предотвращению последствий по смене KSK ключа в рутовой зоне. Лучше проверить заранее. P.S. Извините за кривоватый местами перевод -- художественная ценность не была целью. ;)
========================================================= Добрый день,
ICANN предлагает тестовую платформу для операторов сети и других заинтересованных сторон, позволяющую убедиться что ваши системы правильно отработают процесс автоматического обновления предстоящей смены Key Signing Key (KSK) Root Zone Domain Name System Security Extension. На текущий момент смена KSK запланирована на 11 октября 2017 года.
"На сейчас семь с половиной миллиардов людей используют DNSSEC валидирующие резолверы, на которые может повлиять смена KSK", заявил вице президент ICANN по исследовательской деятельности Мэтт Ларсон (Matt Larson). "Тестовая платформа -- простой способ для операторов определиться, что их инфраструктура поддерживает способность обработать смену KSK без ручного вмешательства."
Интернет сервис провайдеры, операторы сети и остальные участники сети, у кого включена валидация DNSSEC должны обновить свои системы с новым KSK. Это может быть сделано одним из двух способов:
- Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по адресу https://www.iana.org/dnssec/files - Оператор может включить опцию, доступную во многих валидирующих резолверах, которая позволяет автоматически определить и сконфигурировать (установить) новый KSK root зоны в качестве trust anchor, и в этом случае никаких дополнительных действие не требуется.
Проверьте, готова ли ваша система, по адресу https://automated-ksk-test.research.icann.org/
KSK широко распространен и установлен каждым оператором, выполняющим DNSSEC валидацию. Если у резолвера, валидирующего DNSSEC после смены KSK не будет установлен новый KSK, конечные пользователи, использующие данные резолвер будут получать ошибки и испытывать проблемы с доступом в Интернет. Тщательность и скоординированные усилия необходимы для того, чтобы обновление не повлияло на нормальную деятельность.
Больше информации доступно по адресу https://www.icann.org/resources/pages/ksk-rollover =========================================================
-- Taras Heychenko tasic@academ.kiev.ua
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog