Názory k článku Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika
-
Aha: http://iana.org/domains/root/db/
.பரிட்சை - test - Reserved for testing internationalised domain names -
Koukám že na https://itar.iana.org/anchors/ je kromě klasických TLD ruzných zemí i spousta dalších podivných domén:
.テスト
.испытание
.பரிட்சை
...
Netušil jsem že IDN se už dostalo i do kořenové zóny... -
Danny (neregistrovaný)Ano, mas pravdu. Nektere veci jsem si historicky precetl prilis rychle a od te doby ziju v jakemsi bludu :) Takze se omlouvam za hozeni rovnitka mezi IANA DNSSEC testbed & samotny ITAR.... samozrejme je pravda, ze kratsi vypadek samotneho ITAR zasadenjsi problem neni. Problem je "spolehani se" na onen testbed. Castecne na tom ma podil i clanek na rootu, kde je podobne (mozna lehce nestastne) do odrazky IANA hozeny jak onen testbed, tak i ITAR (pricemz u jednoho je priklad jen pro bind, u druheho jen pro unbound, takze clovek lehce nabyde dojmu, ze jde o totez :) ).
-
Bobrnautus (neregistrovaný)Mohu-li mít ještě připomínku, bylo by možné na dnssec.cz přidat návod pro DLV taky pro unbound, ať nemusí správci zbytečně tápat? http://www.unbound.net/documentation/howto_itar.html Jinak když už se tu bavíme o DNS, copak se to s nimi děje na Lupě? 3 ze 4 dns resolverů mi hlásí servfail, výsledky na intodns.com pro lupa.cz se krásně červenají, to někdo škodí, nebo se v tom kluci šťourají? :-)
-
anonymníObavam se ze administratori jsou az ti posledni kterych se na nazor nekdo pta (a presne podle toho to taky vypada). Daleko dulezitejsi jsou rozesmate ksichtiky stastnych uzivatelu na propagacnich letacich.
Navic cim vetsi moloch tim vetsi naklady na radek textu, takze vygenerovani a aplikovani podpisu muze takovou banku stat klidne desitky MKc :/, zcehoz skutecny realizator dane prace uvidi par Kc.
Vetsina padne samozrejme na odmeny managementu (zavedli preci uspesne tu novou uzasnou technologii), cast na marketing (musi se to zviditelnit v TV/...) ... -
Osobne se domnivam, ze presvedcit ceske banky na to, aby podepsaly svoje zony, je bez papirove politicky zplnomocneneho trusted-rootu nad sily mistni komunity.
Dokazu si predstavit, ze po pulroce nejakeho usilovneho obrazeni bankovich vecirku a zvani ruznych CIO na obedy a vecere se ten problem dostane do nejakeho oficialniho schvalovaciho kolecka, ktere ten projekt zamitne.
Situace se muze zmenit druhy den pote, co nekdo unese DNSku nejake banky. Ale myslim, ze to neni cesta, kterou bychom se chteli vydat. -
Ahoj Danny,
tady si uplne nerozumime, asi jsem to podrobne nevysvetlil. ITAR neni nameserver, ITAR je uloziste klicu. Klice si off-line stahujes na svuj DNS resolver a pak je pouzivas pro overovani. Takze pripadny _kratky_ vypadek ITARu Ti nezpusobuje zadny problem, proste si aktualni klice stahnes pozdeji. -
Prave jste presne vystihl vyznam ITAR. Dokud nebyl ITAR, DLV neobsahovalo klice pro domenu .se ani .bg. Tamni spravci totiz ISC neverili a sve klice jim neposlali. Ted ma ISC pro tato data konecne zdroj - ITAR.
Jinak technicky je DLV asi elegantnejsi, ale to v bezpecnosti neni to nejdulezitejsi.
K Vasi druhe casti otazky - pocet podepsanych domen roste, nedavno se pridal prvni e-shop a mame signaly, ze se pripoji dalsi e-shopy, zpravodajske portaly a brzy i nejaka banka. Jako kazda technologicka zmena i zavedeni DNSSEC nejaky cas trva. -
Bobrnautus (neregistrovaný)Osobně si také myslím, že ITAR není všespasitelný. Osobně mám raději DLV, funkčně je to naprosto stejné (DLV si z itaru beztak všechny klíče stahuje a kromě nich obsahuje i další, takže možnosti validace jsou zde lepší), navíc je to jednodušší na udržování. I když stejně se nemůžu ubránit malému rejpanci: Proč to vlastně všechno děláme (my vyměnili všechny resolvery za unbound), když ani jedna česká banka v rámci ochrany svých klientů DNSSEC doposud nezavedla a domény nepodepsala? Nehrajeme si tak jen s další zbytečnou hračkou na písečku?
-
Danny (neregistrovaný)Bohuzel ITAR neni vhodne pro produkcni nasazeni, protoze nuti spravce DNS serveru spolehat na _jediny_ korenovy nameserver, namisto beznych deseti (v realu, diky anycastu, jeste vicero) korenovych serveru.
Je nejaky racionalni duvod, proc tech "ITAR" nameserveru neni provozovano vice, pokud mozno i geografickych distribuovanych (tak aby v "." hints jich mohlo byt vice nez jeden)? Necekam, ze by byla vybudovana 1:1 infrastruktura dnesnich rootu, ale par geograficky rozmistenych sekundaru s podepsanou korenovou zonou by prece nemusel byt az takovy problem. Ono politikareni kolem podpisu se asi jeste chvili potahne :(
ČLÁNKY DO MAILU