IT2web

Системному администратору Windows Server

Главная --> DNS --> Обзор DNSSec - DNSSEC: проблема яйца и курицы?

Обзор DNSSec - DNSSEC: проблема яйца и курицы?

Article Index
Обзор DNSSec
Последняя миля доверия
Подписал и спишь спокойно?
DNSSEC: проблема яйца и курицы?
All Pages

DNSSEC: проблема яйца и курицы?

На мой взгляд, проблемы DNSSEC и ipv6, которые регулярно обсуждаются на конференциях ICANN, имеют между собой много общего. В обоих случаях отсутствуют простые и наглядные преимущества технологии, которые, что называется, можно «пощупать руками». Соответственно, обе технологии для пользователей, скорее, напоминают Неуловимого Джо. Его никто не может поймать, потому что он никому не нужен.

Таким образом, DNSSEC не обещает администраторам доменов сиюминутных выгод. Для того, чтобы осознать его потенциал, нужен широкий взгляд на вещи и постоянное стремление заглянуть в будущее. А там – не только надежная защита от подмены адресов сайтов, но и другие сервисы, которые можно построить на цепочке доверия. Филипп Кулин упомянул протокол DANE, который описывает размещение сертификатов x509 в системе DNS и сможет придти на смену системе SSL-сертификатов.

DNSSEC уже сейчас будет интересен корпоративным пользователям, потому что подмена DNS-трафика может обернуться для них серьезными убытками, - считает Роберт Гледенов, председатель Комитета регистраторов КЦ.

Все участники рынка уверены, что технология DNSSEC нуждается в популяризации, в том числе, в среде конечных пользователей. Пусть сейчас большинство из них не могут воспользоваться преимуществами протокола, все равно – бездействие по этой причине образует замкнутый круг. Это противоречие очень точно сформулировал Сергей Овчаренко (ФРИ): «Валидирующих резолверов мало (около 1.6 % в мире), но если так рассуждать, то получается проблема курицы и яйца: вопрос зачем подписывать домен, когда нет валидирующих резолверов, влечет за собой вопрос: зачем кому-то ставить резолверы, когда нет подписанных доменов?». Те, кто очень хотят воспользоваться преимуществами DNSSEC, могут поставить плагин к браузеру и наслаждаться.

Не стоит забывать и о том, что DNSSEC неизбежен в новых доменах верхнего уровня, которые появятся по программе New gTLD. Это обстоятельство позволяет разглядеть в этой истории политический подтекст: свою приверженность идеалам безопасности в Рунете декларировали, в первую очередь, те организации, которые претендуют на новые домены.

Так или иначе, в ближайшем будущем популярность DNSSEC в России будет возрастать. КЦ подготовил рекомендации и примеры использования безопасного протокола, которые вскоре появятся на его сайте. Свой вклад планируют внести и регистраторы: RU-CENTER собирается проводить специальные семинары для системных администраторов, а также, вероятно, запустит справочно-информационный сайт, посвященный этой технологии.

Федор Смирнов,
аналитик Info.nic.ru