Před časem jsem psal o plánu na podepsání kořenové zóny. První krok k podepsání kořenové zóny byl právě (asi před hodinou) učiněn a server L.Root-Server.Net začal jako první vracet podepsanou (ale nevalidovatelnou) kořenovou zónu. Takže velký potlesk pro kolegy pracující pro ICANN, a na výsledek jejich práce se můžete podívat sami:
; <<>> DiG 9.6.1-P2 <<>> +norecurse +multi IN DNSKEY . @l.root-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39000
;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;. IN DNSKEY
;; ANSWER SECTION:
. 86400 IN DNSKEY 256 3 8 (
AwEAAa1Lh++++++++++++++++THIS/IS/AN/INVALID/
KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
+++++++++++++++++++++++++++++++++++++++++++8
) ; key id = 23763
. 86400 IN DNSKEY 257 3 8 (
AwEAAawBe++++++++++++++++THIS/IS/AN/INVALID/
KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++8=
) ; key id = 19324;; Query time: 142 msec ;; SERVER: 2001:500:3::42#53(2001:500:3::42) ;; WHEN: Wed Jan 27 21:07:41 2010 ;; MSG SIZE rcvd: 439
Více informací o plánu nasazení na jednotlivé nameservery obsluhující kořenovou zónu najdete na speciálních stránkách Root DNSSEC.
A na závěr ještě jeden pěkný obrázek:
Ondřej Surý
Jaka je vubec podpora ze stran ISP beznych uzivatelu? Maji tyhle veskere snahy o podepisovani zon ten pravy efekt nebo se stale jen ceka ze to jednou prijde?
Podpora v rekurzivnich DNS ze strany ISP je podle mych zkusenosti zatim dost mizerna, ale to je castecne dany i tim ze neni poradne vyresen podpis korenove zony. Neni se cemu divit ze administratori rekurzivnich DNS nechteji nasazovat nejake berlicky jako DLV (https://www.isc.org/solutions/dlv), protoze to zvysuje pravdepodobnost selhani (pouziti DLV vytvari „single point of failure“). Pak je tu jeste moznost pouzit ITAR (https://itar.iana.org/), to ale zase znamena venovat tomu vic casu na pravidelnou udrzbu a aktualizaci… Jinak na nasazeni DNSSEC u domen pod nama se chystam, ale porad tak nejak doufam ze se podari v rozumny dobe zprovoznit NSEC3, takhle se to rovna otevreni AXFR do sveta, coz neni vzdy zadouci a potreboval bych takhle ke kazdy domene souhlas zakaznika a tam to vypada nasledovne „ted to funguje, tak nechci nic menit“. :(
J.H.: Soupis tech ISP, kteri validaci zapnuli od zacatku je v teto zpravicce – http://www.nic.cz/page/517/kdo-vas-chrani-pomoci-dnssec-/. S ISP v teto veci komunikujeme, jiste hodne pomuze podpis korenove zony. Ale pokud se budete ptat jako zakaznik, jiste to bude mit vliv. :-)
Stanislav Petr: Nic Vam nebrani v techto domenach NSEC3 pouzit. Jeho podpora je uz celkem slusna, koneckoncu mnoho novych TLD uz prave pomoci NSEC3 podepisuje.
Ondřej Filip: Neni nsec3 jeste porad draft? A uz jde i pod necim jinym nez NSD? Docela se bojim mit vsechny DNS servery jenom na NSD…
Stanislav Petr: Ne, jde o RFC 5155. A pokud je mi znamo, tak BIND podporuje NSEC3 od verze 9.6.0. Takze mate demony alespon 2. Jinak chvalim, ze nespolehate pouze na jednu implementaci.
Stanislav Petr: Již od minulého roku (od března) NSEC3 není draft. Podpora je také v Bind 9.6+.
Ondřej Surý: No jo, koukam ze mam stary informace. Takze to jdu pripravovat! :D Diky za nakopnuti.
Stanislav Petr: Dneska jsem v poště archivoval info o betě bind9.7, která už má automatické podepisování přímo v named. Takže pokud se cítíte trochu experimentálně, můžete vyzkoušet…
Hmm, to vypada hodne zajimave. No asi si pustim dalsi testovaci DNS server… Jinak 9.7 je uz dokonce jako RC2.
K tomu grafu, kde provoz L-root serveru zacal prudce stoupat po aktivaci DNSSEC. Je prudky narust objemu dat zpusoben zvysenym mnozstvim dotazu anebo dusledkem vetsi vymeny dat potrebne pro DNSSEC? Pokud je spravne druha moznost, pak to neni hezky graf…