Завершено развертывание протокола DNSSEC

06-05-2010

5 мая 2010 года ознаменовалось важным событием в жизни интернет-сообщества. Сегодня была подписана зона на последнем из корневых DNS-серверов, о чем торжественно сообщил представитель компании VeriSign Мэтт Ларсон на проходящей в эти дни в Праге 60-ой конференции RIPE.

Таким образом, завершено развертывание технологии DNSSEC на всех тринадцати корневых серверах.

Этот процесс стартовал в январе текущего года и проходил последовательно. Однако следует заметить, что процедура подписания корневых зон на данный момент носит тестовый характер. Рабочая группа по внедрению DNSSEC отдает себе отчет в том, что такое глобальное нововведение следует применять очень осторожно, поэтому постоянно учитывается вероятность непредвиденного развития событий. Для этого была заранее разработана процедура «отката»  к неподписанному состоянию зон.

Сейчас же на корневых серверах созданы так называемые «заведомо непроверяемые зоны» (DURZ). Суть данной инициативы в том, что зоны подписываются «неправильными» ключами, которые невозможно проверить криптографически. Сделано это с целью искусственного увеличения размера DNS-ответов, что поможет оценить рост нагрузки на DNS-серверы. Тестирование зоны DURZ будет производиться в течение ближайшего месяца, но уже в июле 2010 года планируется заменить «неправильные» ключи на настоящие, что будет означать окончательное подписание корневой зоны.

Также в своем докладе г-н Ларсон рассказал о некоторых результатах наблюдений, производившихся на этапе инкрементального (пошагового) развертывания DNSSEC. В частности был отмечен значительный рост количества TCP-запросов к корневым серверам. Помимо этого было объявлено о создании протокола взаимодействия между компанией VeriSign, ответственной за создание ключей подписи зон (ZSK), и организацией ICANN, которой в свою очередь поручено администрирование ключей KSK, предназначенных для подписи крипто-записей.


Источник новости:  http://info.nic.ru

Возврат к списку