Nedávno jsem referoval, že více než polovina kořenových serverů poskytuje onu pseudopodepsanou zónu. Včera došlo k další významné změně. Už jsou „podepsány“ všechny kořenové servery s výjimkou posledního, označovaného písmenem J. Tento stav bude pro rozhodnutí o skutečném podpisu kořenové zóny klíčovým. Systém DNS je navržen velice robustně a pro jeho správnou funkci stačí dostupnost alespoň jednoho kořenového serveru. Pokud tedy nějaký systém obsahuje špatnou implementaci DNS resolveru, která zahazuje DNSSEC podepsané odpovědi, bude pro tento systém těch 12 podepsaných kořenových serverů jakoby nedostupných. Takže jako jediný dostupný se bude jevit právě server J a takové systémy budou koncentrovat své dotazy právě na něj. Pokud tedy výrazně stoupne zatížení tohoto serveru, dá se předpokládat, že existuje větší množství klientů, které by podpis všech serverů „odstřihl“ od Internetu. Možná proto si správci kořenových serverů na podpis toho posledního třináctého nechávají čas a plánují jej na 5. května. Mají pár dnů na to, zanalyzovat, zda-li se nějaký podobný jev nevyskytuje.
Každopádně vlak jménem DNSSEC@ROOT postupuje dle grafikonu. Další zastávka bude na začátku května.
Ondřej Filip
Nejak nerozumim tomu jak chteji z posledniho nepodapsaneho serveru poznat jestli s tim naji nekde jeste problem. Dotazy DNS maji urcitou platnost v cache a zrovna cache-hits pro zonu „.“ budou mit extremne vysokou uspesnot. A DNS server ktery ma problemy s DNSSEC odpovedi se stejne zepta i ostatnich serveru kde se mi nepodari rozpoznat spravne odpoved, takze statisticky bude narust dotazu rovnomerne rozlozen na vsechny korenove servery a myslim si ze ten narust bude tak strasne maly ze nepujde rozlisit jestli je to z duvodu nasazovani DNSSEC nebo z prirozeneho rozrustani internetu…
Mate pravdu jen castecne. DNS server se zepta prvniho (nahodne zvoleneho) a pokud ten mu neodpovi, tak se zepta dalsiho. Takze takovyto spatny rekurzivni DNS server muze dostat odpoved hned od prvniho (pokud ma stesti) nebo az od trinacteho v rade (pokud ma smulu). Kazdopadne dotaz na server J pujde v takovem to tazacim kolecku vzdy. Dotaz na kazdy ostatni korenovy server pujde s pravdepodobnosti cca 50% (nezlobte se, nebudu to pocitat presne). Takze zvysena zatez na serveru J by snad jiz mohla byt pozorovatelna.
Mimochodem nektere implementace rekurzivnich DNS serveru si pamatuji, kdo jim dal odpoved a v jakem case a pak preferuji nejrychlejsi. To by zatez posledniho serveru jeste zvysovalo.