EOMY.NET
Хостинг EOMY.NET: Форум поддержки
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
RSS Feed  

DNSSEC

 
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Доменные имена: общие вопросы
DNSSEC
Автор Сообщение
[LP]LordPro.teus
Призрак Лорда
Призрак Лорда


Зарегистрирован: 26.07.2007
Сообщения: 5123

44732 Монеты

СообщениеДобавлено: Чт, 05 Май, 2011 16:42    Заголовок сообщения: DNSSEC Ответить с цитатой

Собственно, кто настраивал?.. Как прошло? Есть ли "побочные эффекты"?
_________________

А ведь еще не поздно смотаться на Азовское море, согреться на солнышке...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Чт, 05 Май, 2011 19:38    Заголовок сообщения: Ответить с цитатой

У нас было два подхода, не увенчалось особым успехом.
Пакет превышает 512(?) байт, клиенты по UDP-only не могут подключиться .
Всё это у нас на selfsigned ключах тестилось.

Вообще, это величайший костыль в истории современного интернета.

Вывод. Пока рано. Год-два надо подождать.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
[LP]LordPro.teus
Призрак Лорда
Призрак Лорда


Зарегистрирован: 26.07.2007
Сообщения: 5123

44732 Монеты

СообщениеДобавлено: Чт, 05 Май, 2011 19:55    Заголовок сообщения: Ответить с цитатой

Если читать отчеты компаний-администраторов gTLD - это едва ли не мана небесная - вплоть до того, что так и писали, что панацея практически от всех бед Сети...) Чуть было не заволновался, что как же так - а у нас-то на сервисах до сих пор не используется, надо подсуетиться...

Вот, что непонятно - при неподдержке клиентом DNSSEC - должно срабатывать как просто DNS ведь?.. Если да - не рушит ли это всей идеи протоола? Если нет - а не слишком большой процент траффика теряется?
_________________

А ведь еще не поздно смотаться на Азовское море, согреться на солнышке...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пт, 06 Май, 2011 07:23    Заголовок сообщения: Ответить с цитатой

Мы вывели подписанные зоны на ns2.(подписали qwerty.name и еще несколько технических)
В среднем 60% клиентов используют UDP они и отвалились.

Естественно, администраторы тлд доменов ведь будут на этом зарабатывать.

Эта вещь будет нормально работать если компьютер пользователя сам будет резолвить имя. Костыль в виде кеша между ним и сервером в идеальных условиях не влияет ни на что. Но это какой-то магией бьёт подписи.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
[LP]LordPro.teus
Призрак Лорда
Призрак Лорда


Зарегистрирован: 26.07.2007
Сообщения: 5123

44732 Монеты

СообщениеДобавлено: Пт, 06 Май, 2011 15:57    Заголовок сообщения: Ответить с цитатой

lazutov
Так ведь идея вроде и была в том, что если "между" пользователем и сервером кто-то "вклинился" и подделал данные - то... а вот дальше я не уверен - то ли домен не отрезолвится, то ли браузер должен отклонить попытку открыть страницу, то ли... непонятно.
Что касательно заработка администраторов TLD... за подпись домена придется платить так же как и выдачу SSL-сертификатов? If so - технология "мертворожденная"...
_________________

А ведь еще не поздно смотаться на Азовское море, согреться на солнышке...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пт, 06 Май, 2011 16:02    Заголовок сообщения: Ответить с цитатой

resolving wall как-то байпасится этим протоколом.
В любом случаем надо дождаться нормальной информации, а не сливок эйфории.
Протокол сам по себе костыльный. Я просто в шоке. *FACEPALM*
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пт, 06 Май, 2011 16:04    Заголовок сообщения: Ответить с цитатой

Про то, кто будет выдавать пары ключей на сто процентов пока не ясно.
Я думаю, что денег на этом сдерут.

Если приватные ключи будут передаваться открытым текстом при синхронизации зон, то это вообще пипец.

ДНС -- юридически самое слабое место веба, но не технологически.
Ответ из файла hosts всё равно авторитетнее любой днс. Но винда из-под админа + простейший вирус и весь dnssec рушится.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
[LP]LordPro.teus
Призрак Лорда
Призрак Лорда


Зарегистрирован: 26.07.2007
Сообщения: 5123

44732 Монеты

СообщениеДобавлено: Пт, 06 Май, 2011 20:29    Заголовок сообщения: Ответить с цитатой

lazutov
Вот и я не понял, если по hosts задать что-угодно - как обожаемая винда додумается вообще полезть на DNS (которые она, насколько помню, в таком случае и не запросит вообще) - а следовательно... имела она весь этот протокол и ключи...
_________________

А ведь еще не поздно смотаться на Азовское море, согреться на солнышке...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Вт, 17 Янв, 2012 14:02    Заголовок сообщения: Ответить с цитатой

У меня есть предварительные подробности.
Судя по API реестра зоны RU, авторитативному серверу корневой зоны (RU/SU...) передаётся всего лишь публичная часть пары, который подписывается зона.
При этом не важно как эта пара будет сгенерирована.
Я делаю однозначный вывод, что все пока не плохо.
И я кажется, заставил это работать на selfsigned ключах.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
[LP]LordPro.teus
Призрак Лорда
Призрак Лорда


Зарегистрирован: 26.07.2007
Сообщения: 5123

44732 Монеты

СообщениеДобавлено: Чт, 02 Фев, 2012 23:12    Заголовок сообщения: Ответить с цитатой

lazutov
Файлик hosts по-прежнему "ногибает" все технологические навороты по безопасности? Wink
_________________

А ведь еще не поздно смотаться на Азовское море, согреться на солнышке...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пт, 03 Фев, 2012 05:20    Заголовок сообщения: Ответить с цитатой

Да.

_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
[LP]LordPro.teus
Призрак Лорда
Призрак Лорда


Зарегистрирован: 26.07.2007
Сообщения: 5123

44732 Монеты

СообщениеДобавлено: Пт, 03 Фев, 2012 09:50    Заголовок сообщения: Ответить с цитатой

Вывод... нужны сперва директивы, которые запретят (RFC какой-нить) данное поведение... ну и потом - еще 5 лет хотя бы на обновление ОС на текущем парке машин... и все равно высокая эффективность будет под вопросом, по крайней мере о КПД ~100% и речи быть не может. Даже тогда.
_________________

А ведь еще не поздно смотаться на Азовское море, согреться на солнышке...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Доменные имена: общие вопросы Часовой пояс: GMT
Страница 1 из 1

 


Rambler's Top100   Рейтинг@Mail.ru    



Powered by phpBB © 2001, 2005 phpBB Group