Třetina uživatelů validuje DNSSEC, jsme šestí na světě

Geoff Huston z APNICu nedávno prezentoval v rámci konference RIPE 67 poměrně zajímavá čísla z jeho výzkumu validace DNSSEC. Geoff si nakoupil od Google reklamní prostor a do flash kódu implementoval dotazy na tři různá URL. DNS prvního bylo jako referenční bez DNSSEC podpisu, druhé bylo s korektním DNSSEC podpisem a třetí bylo se schválně špatným DNSSEC podpisem. Toto měření mělo mnoho různých cílů, ale z počtu úspěšných transakcí na URL se špatným DNSSEC podpisem lze ukázat, kolik procent DNS resolverů validuje. Samozřejmě jde trochu diskutovat o reprezentativnosti vzorku sbíraného pomoci reklam Google, ale rozhodně následující čísla o něčem hovoří. (Zdroj čísel je ve zmíněné prezentaci na slide 11.)

  1. Švédsko: 78 %
  2. Slovinsko: 59 %
  3. Lucembursko: 44 %
  4. Vietnam: 38 %
  5. Finsko: 37 %
  6. Česká republika: 31 %

Mezi TOP 25 (slide 18) sítí, které validaci podporují, se dostali dva čeští ISP a to Telefónica Czech Republic a GTS Czech. Děkujeme.

Z určitého pohledu to není špatný výsledek. Na prvních šesti místech jsou země, u kterých se to více méně očekávalo. Snad jen trochu překvapivý je Vietnam, ale zde je vysvětlením velká popularita resolverů Googlu, které DNSSEC validují. Na druhou stranu jsem přeci jenom trochu doufal, že země s nejvyšším podílem podepsaných domén v národní doméně bude alespoň na bedně. Inu ještě máme co zlepšovat. Musíme si uvědomit, že dvě třetiny uživatelů mohou být vystaveny třeba velmi zákeřnému útoku na DNS pomocí IP fragmentace, který také v rámci RIPE 67 prezentoval kolega Tomáš Hlaváček!

Ondřej Filip

Autor:

Komentáře (3)

  1. petr_p říká:

    I Česko je postiženo z 11 % Googlem (předchozí „demokratické“ státy mají kolem 3 %). Otázka je proč. Neumí čeští správci nastavit resolver pro své uživatele, nebo čeští uživatelé ví, že čeští správci mají servery cinknuté?

  2. snajpa říká:

    Lenost, 8.8.8.8 si zapamatuje kazdy, vic bych v tom asi nehledal :)

  3. Ondřej Caletka říká:

    petr_p: Může to být taky třeba proto, že ISP těchto uživatelů veškerý provoz směřující na port udp/53 odklání (DNATuje) směrem k adrese 8.8.8.8, protože „uživatelé mají občas nastavené špatné adresy DNS serverů a my chceme aby jim to fungovalo“.

Zanechte komentář