Регистър.бг и DNSSEC
Материалът е по съобщения от вътрешни пощенски списъци на организации като RIPE и IGP и затова не могат да се цитират имената на участниците. В нея се изразяват личните им мнения, а не официалните позиции на организациите, които представляват.
RIPE е организацията, която контролира root сървърите за Европа. В момента членовете й са недоволни от предложения от ICANN начин за въвеждане на DNSSEC в различните tld, защото на практика трябва да дадат „ключовете“ на Интернет на американското правителство. Никое правителство не би подписало договора в сегашния му вид, като дори автора на домейн системата Paul Vixie и ВСИЧКИ root server оператори (повечето от тях американци) препоръчват на ccTLD операторите да НЕ подписват сегашното предложение за DNSSEC – защото това ще даде всички ключове към Интернет на ICANN (и американското правителство) и допълнително ще затвори глобалната мрежа. Това е било дискутирано на скорошна среща в Ню Йорк.
„The world root server operators are upset because the way they have to operate DNSSEC as it stands is to “give the keys to the Internet kingdom” to US govt - everybody is mad. (except for Sweden and Bulgaria). Paul Vixie invented the domain system and runs A root and David Conrad writes/wrote BIND at ISC.“
RIPE NCC няма да подпише с ICANN за DNSSEC заради начина, по който се налага тази технология. От там са изпратили отворено писмо до ICANN в което се казва, че изразяват недоволство от свършената работа до момента по DNSSEC, настояват ICANN да проведе публично обсъждане и да ускори процеса по въвеждане на технологията, след като отстрани недостатъците й.
„RIPE NCC won’t sign with ICANN because the legal protection to registries nad root servers is terrible the way ICANN is now trying to deploy DNSSEC - for them to write an open letter like this is because they are very upset.“
Това е една от причините да се смята, че ICANN може да не изкара дори следващите две години.
Само две държави в света до сега са подписали договора за въвеждане на технологията с ICANN - Швеция и България. На практика ръководителите на европейските cctld недоволстват, но изглежда, че Регистър БГ и IIS „знаят повече от тях“.
„So the leaders of European cctlds are screaming at ICANN openly but register.bg “seems to know more than them“
Експерти смятат, че начина по който от Регистър БГ са въвели DNSSEC е неправилен и на практика е безполезен.
„Warning, AFAIK, “.bg” signs the zone but does not delegate (no DS in the zone), unlike “.se”. A model for the root, signing just the NS and the SOA?“
DNSEC може би е добра технология, но не по начина, по който е представена сега и който са избрали Регистър БГ. Дали затова не искат да я реализират напълно, или защото не знаят как?
„DNNSEC maybe good eventually but not as its being legally pushed now which .bg has already foolishly signed… Maybe that`s why they don’t want to actually implemenet fully after signing or more likeley they don’t know how to properly implement?“
Коментари (Един коментар)
Копирано от другия форум, в който г-н автора го е копирал:
[QUOTE=tilix,10-07-2007, 14:05] Само две държави в света до сега са подписали договора за въвеждане на технологията с ICANN - Швеция и България. На практика ръководителите на европейските cctld недоволстват, но изглежда, че Регистър БГ и IIS „знаят повече от тях“.
[QUOTE]„So the leaders of European cctlds are screaming at ICANN openly but register.bg “seems to know more than them“[/QUOTE]
Експерти смятат, че начина по който от Регистър БГ са въвели DNSSEC е неправилен и на практика е безполезен.
[QUOTE]„Warning, AFAIK, “.bg” signs the zone but does not delegate (no DS in the zone), unlike “.se”. A model for the root, signing just the NS and the SOA?“[/QUOTE]
DNSEC може би е добра технология, но не по начина, по който е представена сега и който са избрали Регистър БГ. Дали затова не искат да я реализират напълно, или защото не знаят как?
[QUOTE]„DNNSEC maybe good eventually but not as its being legally pushed now which .bg has already foolishly signed… Maybe that`s why they don’t want to actually implemenet fully after signing or more likeley they don’t know how to properly implement?“[/QUOTE] [/QUOTE]
[b]Пълни глупости.[/b]
DNSSEC е технология за криптографско потвърждение на данните в DNS. Основната цел на протокола е елиминиране на възможността за фалшификация на DNS заявките/отговорите, и евентуалното пренасочване на трафик към “грешен” адрес. По същество DNSSEC позволява елиимниция на повечето известни методи за фалшифициране или “хакване” на DNS.
Нито ICANN, нито US правителството, а още по-малко RIPE имат пръст в тези неща. Куриозното в цитатите от “експертите” ви, които удобно са анонимни е, че всъщност именно RIPE е един от пропонентите за масово въввеждане на DNSSEC. Нещо повече, след предложението което регистрите на .BG и .SE направиха пред RIPE общността, тази общност на последната си среща в Талин реши да приложи по-сериозен натиск над ICANN за по-скорошното подписване на DNS корена. Т.н. “точка”.
DNSSEC реализацията в .BG е пълна. Дори е “по-пълна” от реализацията в .SE, където доста от операциите по делегация се извършват ръчно. Но колегите там работят по автоматизацията. Те пък са по-напред в разгласяването на технологията пред обществото . От техническа гледна точка и двата регистъра реализират един и същ вариант на DNSSEC (известен като DNSSECbis).
Всеки може да провери, дали в .BG зоната има DS записи, като просто използва инструменти като dig или nslookup. Също така, колегите от други регистри, където е вече внедрен DNSSEC предлагат он-лайн инструменти за верификация. Например удобен е този на .MX (Мексико) [URL=http://www.dnssec.org.mx/checkdnssec.html]http://www.dnssec.org.mx/checkdnssec.html[/URL]
В момента в .BG има делегирани 69 домейна с DNSSEC. В .SE те са 38, в .BR 22 и в .PR 17. Тези са и TLD регистрите, които са внедрили DNSSEC към момента. За справка: [URL=http://secspider.cs.ucla.edu/islands.html]http://secspider.cs.ucla.edu/islands.html[/URL]
DNSSEC е свободно достъпна технология, която при това не е трудно да бъде въведена от всеки оператор на DNS сървер и/или Интернет доставчик. Използването и ще направи качеството на услугата “достъп до Интернет” по-добро.
Усилията не са чак толкова големи, но разбира се, е нужна малко повече дисциплина от сегашните “самоделни” DNS инсталации. Ако някой има желание да придобие опит с DNSSEC, Регистър.БГ може да предложи информация и идеи за внедряването. Също така, Софийския Университет подписва зоната си с DNSSEC, а Регистър.БГ публикува DS записите им. Те също имат доста опит, а също така и готова инструкция за внедряване в Линукс.
В страни като САЩ и Швеция внедряването на DNSSEC е държавна политика. С други думи, случва се и в момента, въпреки мнението на “експертите” ви.
DNSSEC ще пристигне при вас с гръм и трясък един ден, и клиентите ви ще изискват тази услуга. Ако вие не я предлагате, ще станат клиенти на тези, които я предлагат. Ваш проблем си е, дали да вярвате на това или не.
А въпросните цитати са просто евтин и доста нескопосан опит за оплюване на Регистър.БГ.
Ако искате да ви вярват, цитирайте източниците си!
Само една част е вярна: и Регистър.БГ и IIS и RIPE и още много други регистри, изследователски групи и оператори знаят какво правят.
ПП: ICANN ще изкара още много години. Този не е нито първия, нито най-сериозния гаф който правят. От друга страна, наличието на ICANN е изгодно в политическо отношение на практически всички заинтересовани страни.
ППП: [QUOTE]RIPE е организацията, която контролира root сървърите за Европа.[/QUOTE] Това твърдение е не само неосведомено, но и доста наивно.
Даниел Калчев / July 13th, 2007, 11:09 am / #
Пусни коментар