Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

DNSSEC англ Domain Name System Security Extensions набір специфікацій IETF що забезпечують безпеку інформації що надаєть

DNSSEC

DNSSEC

DNSSEC (англ. Domain Name System Security Extensions) — набір специфікацій IETF, що забезпечують безпеку інформації, що надається засобами DNS в IP-мережах. Він забезпечує DNS-клієнтам (резолверам) аутентифікацію даних DNS або аутентифікацію інформації про факт відсутності даних та їх цілісність. Не забезпечується доступність даних і конфіденційність запитів.

Убезпечення інформації DNS особливо важливо для інтернет-безпеки в цілому.

Поширенню DNSSEC значною мірою перешкоджали:

  1. Відсутність сумісного з попередніми стандарту, який можна масштабувати до розміру інтернету.
  2. Складність застосування реалізацій DNSSEC у величезній кількості DNS серверів і клієнтів.
  3. Розбіжності між ключовими гравцями з приводу того, хто повинен володіти доменами першого рівня (.com, .net тощо).
  4. Подолання передбачуваної складності та застосування DNSSEC.

Значна частина цих проблем вирішена технічною інтернет-спільнотою.

Опис

Спочатку Domain Name System (DNS) розроблявся не в цілях безпеки, а для створення масштабованих розподілених систем. З часом система DNS стає все уразливішою. Зловмисники без труднощів перенаправляють запити користувачів по символьному імені на підставні сервери і таким чином отримують доступ до паролів, номерів кредитних карт і іншої конфіденційної інформації. Самі користувачі нічого не можуть з цим поробити, оскільки в більшості випадків навіть не підозрюють про те, що запит був перенаправлений. DNSSEC є спробою забезпечення безпеки при одночасній зворотній сумісності.

DNSSEC була розроблена для забезпечення безпеки клієнтів від фальшивих DNS даних, наприклад, створюваних DNS cache poisoning. Усі відповіді від DNSSEC мають цифровий підпис. При перевірці цифрового підпису DNS розпізнавач перевіряє вірність та цілісність інформації. Хоча захист IP адрес є безпосередньою проблемою для багатьох користувачів, DNSSEC може захистити іншу інформацію, таку як криптографічні сертифікати загального призначення, що зберігаються в CERT record DNS. RFC 4398 описує, як розподілити ці сертифікати, у тому числі електронною поштою, що дозволяє використовувати DNSSEC як глобальну інфраструктуру відкритих ключів електронної пошти.

DNSSEC не забезпечує конфіденційність даних; зокрема, всі DNSSEC відповіді аутентіфіковані, але не шифруються. DNSSEC не захищає від DoS-атак безпосередньо, хоча певною мірою робить це побічно. Інші стандарти (не DNSSEC) використовуються для забезпечення великої кількості даних, що пересилаються між серверами DNS.

DNSSEC специфікації (DNSSEC-bis) докладно описують поточний протокол DNSSEC. Див RFC 4033, RFC 4034 та RFC 4035.

Історія

DNS є одним з найважливіших і основних інтернет-сервісів. Проте в 1990 Стів Белловін (Steve Bellovin) виявив серйозні недоліки в безпеці. Дослідження в цій області почалися і проводилися повним ходом з часів публікації доповіді в 1995.

RFC 2065 був опублікований IETF в 1997. Перші спроби реалізації цієї специфікації призвели до нової специфікації RFC 2535 у 1999. Було заплановано реалізовувати DNSSEC, ґрунтуючись на IETF RFC 2535.

На жаль, у специфікації IETF RFC 2535 були дуже серйозні проблеми з масштабуванням на весь інтернет. До 2001 року стало ясно, що ця специфікація була непридатна для великих мереж. При нормальній роботі DNS сервери часто десинхронізіровалися зі своїми батьками. Зазвичай це не було проблемою, але при включеному DNSSEC десинхронізовані дані могли нести мимовільний DoS ефект. Дійсний DNSSEC вимагає складного протоколу з шести повідомлень і велику кількість даних для здійснення змін спадкоємця (всі DNS зони спадкоємця повинні бути повністю передані батькам, батько вносить зміни і відправляє їх спадкоємцю). Крім того, зміни у публічному ключі можуть мати абсурдний ефект. Наприклад, якщо зона ". Com" змінить свій ключ, доведеться відправити 22 млн записів (тому що доведеться оновити всі записи у всіх спадкоємців). Таким чином, DNSSEC у вигляді RFC 2535 не може бути масштабований до розміру інтернету.

IETF здійснила принципову зміну DNSSEC, яке називається DNSSEC-bis (назва була дана щоб відрізняти DNSSEC-bis від первісного підходу DNSSEC в RFC 2535). Нова версія використовує принцип DS (англ. Delegation Signer) для забезпечення додаткового рівня непрямої делегації при передачі зон від батька до спадкоємця. У новому підході при зміні відкритого ключа відсилається тільки одне повідомлення замість шести: спадкоємець посилає новий відкритий ключ батьку. Батько просто зберігає один відкритий ключ для кожного із спадкоємців. Це означає, що зовсім невелика кількість даних буде відправлено батькові замість обміну величезною кількістю даних між спадкоємцем і батьком. Це також означає, що спадкоємцям доведеться здійснювати додаткові дії для перевірки ключів. Більшість вважає, що це невелика плата за можливість практичнішого застосування DNSSEC.

DNSSEC вже набув великого поширення в усьому світі. Тепер, з ініціативи російського реєстратора доменних імен R01, домен RU також інтегрований у систему DNSSEC.

Принцип роботи

перший варіант використання DNSSEC другий варіант використання DNSSEC

В основі дії протоколу DNSSEC лежить метод цифрового підпису відповідей на запит DNS lookup, який забезпечує недоторканність даних в системі DNS. Для цього було створено кілька типів DNS записів, в їх числі RRSIG, DNSKEY, DS і NSEC. Вся інформація про захищений домен (COM, NET, UA ...) в системі DNSSEC певним чином зашифрована, тому може бути змінена тільки за допомогою закритого ключа шифрування. У процесі захищеного делегування домену відбувається генерація пари ключів. Інформація про ключі зберігається на первинному DNS-сервері. Закритий ключ використовується для підпису зони після кожної зміни. Цифровий підпис закритого ключа DS-запису (англ. Designated Signer) передається адміністратору батьківської зони і підписується його особистим ключем. Таким чином організовується ланцюжок довіри. Знаючи відкритий ключ адміністратора батьківської зони можна перевірити валідність відкритого ключа в будь-який з дочірніх зон.

Отримавши доступ до файлів з описом домену на первинному або вторинному серверах DNS або під час передачі даних між серверами, зловмисник не зможе внести зміни, тому що не є власником закритого ключа - будь-які несанкціоновані зміни файлів будуть відкинуті як недостовірні. Так само ні до чого не призведе спроба зловмисника послати динамічний запит на оновлення даних про домен від імені іншої системи. Кешуючі сервери провайдера (організації) і призначені для користувача системи (резолверів) також перевіряють достовірність змін, використовуючи відкритий ключ.

Застосування

Інтернет вважається найважливішим засобом інфраструктури, проте його працездатність залежить від принципово небезпечного DNS. Таким чином, існує великий стимул убезпечити DNS, і застосування DNSSEC, як правило, вважається найважливішою частиною роботи.

Однак DNSSEC має складності у розвитку. Крім того, розгортання DNSSEC у великомасштабних мережах також проблематично. DNS сервери повинні бути оновлені програмним забезпеченням, що підтримує DNSSEC. Клієнт, який використовує (TCP/IP) повинен мати оновлений DNS Resolver для використання можливостей DNSSEC. Більш того, будь-який DNS Resolver повинен мати спосіб отримати принаймні один достовірний відкритий ключ до того, як він почне використовувати DNSSEC. Для вирішення цих завдань вже ведеться значна робота, тому що інтернет має настільки важливе значення для багатьох організацій. [Ред] Підпис кореневої зони

Для повноцінної валідації всіх даних, передаваних за допомогою DNSSEC, потрібна ланцюжок довіри, що йде від кореневої зони (.) DNS. Впровадження підписаної коректним чином кореневої зони на всі кореневі сервери DNS могло викликати крах сучасного Інтернету, тому IETF разом з ICANN була розроблена поступова процедура впровадження підписаної кореневої зони та механізму поширення ключів. Процедура затягнулася більше, ніж на 8 місяців і включала в себе покрокове впровадження на сервери DNS спочатку кореневої зони, підписаної недійсним ключем електронного підпису. Цей крок був необхідний для того, щоб забезпечити тестування серверів під навантаженням, зберегти зворотну сумісність зі старим програмним забезпеченням і залишити можливість відкату до попередньої конфігурації.

До червня 2010 року всі кореневі сервери коректно працювали з зоною, підписаної невалідним ключем. У липні ICANN провів міжнародну конференцію, присвячену процедурі генерації ключів електронного підпису, яким згодом була підписана коренева зона.

15 липня 2010 відбулося підписання кореневої зони і почалося впровадження підписаної зони на сервери. 28 липня ICANN повідомив [2] про завершення цього процесу. Коренева зона була підписана електронним підписом і розповсюдилася в системі DNS.

Інфраструктура ключів

ICANN вибрав таку модель, коли управління підписанням зони відбувається під контролем представників інтернет-співтовариства (Trusted community representative, TCR). Представники вибиралися з числа не пов'язаних з керуванням кореневої зони DNS. Вибрані представники обіймали посади крипто-офіцерів (Crypto Officer, CO) і власників частин ключа відновлення (Recovery key shareholder, RKSH). CO були вручені фізичні ключі, що дозволяють активувати генерацію ключа ЕЦП ZSK, а RKSH володіють смарт-картками, що містять частини ключа (KSK), використовуваного всередині криптографічного обладнання. Деякими ЗМІ був зроблений висновок, що процедури, які потребують присутності CO або RKSH, будуть проводитись у разі надзвичайних ситуацій в мережі [3]. Проте відповідно до процедур ICANN, CO будуть залучатися кожен раз при генерації ключа підписання зони (ZSK), до 4 разів на рік, а RKSH - ймовірно, ніколи або у разі втрати ключів CO або скомпрометованої кореневої зони [4].

Поточний стан

На жовтень 2010 року в кореневій зоні присутні 39 національних доменів верхнього рівня і 9 загальних доменів верхнього рівня, підписаних DNSSEC і забезпечують таким чином ланцюжок довіри доменах другого рівня. У 2011 році очікується підписання російського домену. Ru. [5] У лютому 2012-го розпочалося тестування серверу DNSSEC для домену .UA [7].

Програмне забезпечення DNSSEC

Використання DNSSEC вимагає програмного забезпечення як на серверної, так і на клієнтській стороні.

  • BIND (англ. Berkeley Internet Name Domain).
  • Drill це інструмент з підтримкою DNSSEC що входить в набір інструментів ldns.
  • DNSSEC-Tools проект SourceForge спрямований на забезпечення простого у використанні набору інструментів для роботи з DNSSEC.
  • Unbound Резолвер написаний з нуля, ґрунтуючись на принципах роботи DNSSEC.
  • Підтримка DNSSEC була надана в Windows 7 і Windows Server 2008 R2. [6]
  • MysqlBind
  • OpenDNSSEC

Примітки

  1. "Using the Domain Name System for System Break-Ins" [ 18 липня 2018 у Wayback Machine.] by Steve Bellovin, 1995
  2. DNSSEC Root Signing Announcement
  3. Шести программистам раздали "ключи для перезагрузки интернета"
  4. DNSSEC for the Root Zone [ 18 липня 2018 у Wayback Machine.]
  5. А. Ильин, ТЦИ. Опыт создания пилотной зоны DNSSec для RU
  6. DNSSEC in Windows Server
  7. [1] [ 22 лютого 2012 у Wayback Machine.] В домене .UA появился "Маяк DNSSEC"

Посилання

  • DNSSEC [ 1 серпня 2015 у Wayback Machine.] - DNSSEC інформаційний сайт: DNSSEC.ru
  • DNSSEC [ 23 грудня 2017 у Wayback Machine.] - DNSSEC information site: DNSSEC.net
  • DNS Extensions
  • CircleID - News and Opinions on all DNSSEC related issues [ 11 грудня 2020 у Wayback Machine.]
  • DNSSEC-Tools Project [ 11 вересня 2009 у Wayback Machine.]
  • DNSSEC Deployment Coordination Initiative [ 4 квітня 2018 у Wayback Machine.]
  • DNSSEC на Hostmaster Ltd. - Технічний Регламент та етапи розгортання для UA

Документи RFC

  • RFC 2535 Domain Name System Security Extensions
  • RFC 3833 A Threat Analysis of the Domain Name System
  • RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398 Storing Certificates in the Domain Name System (DNS)

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

DNSSEC angl Domain Name System Security Extensions nabir specifikacij IETF sho zabezpechuyut bezpeku informaciyi sho nadayetsya zasobami DNS v IP merezhah Vin zabezpechuye DNS kliyentam rezolveram autentifikaciyu danih DNS abo autentifikaciyu informaciyi pro fakt vidsutnosti danih ta yih cilisnist Ne zabezpechuyetsya dostupnist danih i konfidencijnist zapitiv Ubezpechennya informaciyi DNS osoblivo vazhlivo dlya internet bezpeki v cilomu Poshirennyu DNSSEC znachnoyu miroyu pereshkodzhali Vidsutnist sumisnogo z poperednimi standartu yakij mozhna masshtabuvati do rozmiru internetu Skladnist zastosuvannya realizacij DNSSEC u velicheznij kilkosti DNS serveriv i kliyentiv Rozbizhnosti mizh klyuchovimi gravcyami z privodu togo hto povinen voloditi domenami pershogo rivnya com net tosho Podolannya peredbachuvanoyi skladnosti ta zastosuvannya DNSSEC Znachna chastina cih problem virishena tehnichnoyu internet spilnotoyu OpisSpochatku Domain Name System DNS rozroblyavsya ne v cilyah bezpeki a dlya stvorennya masshtabovanih rozpodilenih sistem Z chasom sistema DNS staye vse urazlivishoyu Zlovmisniki bez trudnoshiv perenapravlyayut zapiti koristuvachiv po simvolnomu imeni na pidstavni serveri i takim chinom otrimuyut dostup do paroliv nomeriv kreditnih kart i inshoyi konfidencijnoyi informaciyi Sami koristuvachi nichogo ne mozhut z cim porobiti oskilki v bilshosti vipadkiv navit ne pidozryuyut pro te sho zapit buv perenapravlenij DNSSEC ye sproboyu zabezpechennya bezpeki pri odnochasnij zvorotnij sumisnosti DNSSEC bula rozroblena dlya zabezpechennya bezpeki kliyentiv vid falshivih DNS danih napriklad stvoryuvanih DNS cache poisoning Usi vidpovidi vid DNSSEC mayut cifrovij pidpis Pri perevirci cifrovogo pidpisu DNS rozpiznavach pereviryaye virnist ta cilisnist informaciyi Hocha zahist IP adres ye bezposerednoyu problemoyu dlya bagatoh koristuvachiv DNSSEC mozhe zahistiti inshu informaciyu taku yak kriptografichni sertifikati zagalnogo priznachennya sho zberigayutsya v CERT record DNS RFC 4398 opisuye yak rozpodiliti ci sertifikati u tomu chisli elektronnoyu poshtoyu sho dozvolyaye vikoristovuvati DNSSEC yak globalnu infrastrukturu vidkritih klyuchiv elektronnoyi poshti DNSSEC ne zabezpechuye konfidencijnist danih zokrema vsi DNSSEC vidpovidi autentifikovani ale ne shifruyutsya DNSSEC ne zahishaye vid DoS atak bezposeredno hocha pevnoyu miroyu robit ce pobichno Inshi standarti ne DNSSEC vikoristovuyutsya dlya zabezpechennya velikoyi kilkosti danih sho peresilayutsya mizh serverami DNS DNSSEC specifikaciyi DNSSEC bis dokladno opisuyut potochnij protokol DNSSEC Div RFC 4033 RFC 4034 ta RFC 4035 IstoriyaDNS ye odnim z najvazhlivishih i osnovnih internet servisiv Prote v 1990 Stiv Bellovin Steve Bellovin viyaviv serjozni nedoliki v bezpeci Doslidzhennya v cij oblasti pochalisya i provodilisya povnim hodom z chasiv publikaciyi dopovidi v 1995 RFC 2065 buv opublikovanij IETF v 1997 Pershi sprobi realizaciyi ciyeyi specifikaciyi prizveli do novoyi specifikaciyi RFC 2535 u 1999 Bulo zaplanovano realizovuvati DNSSEC gruntuyuchis na IETF RFC 2535 Na zhal u specifikaciyi IETF RFC 2535 buli duzhe serjozni problemi z masshtabuvannyam na ves internet Do 2001 roku stalo yasno sho cya specifikaciya bula nepridatna dlya velikih merezh Pri normalnij roboti DNS serveri chasto desinhronizirovalisya zi svoyimi batkami Zazvichaj ce ne bulo problemoyu ale pri vklyuchenomu DNSSEC desinhronizovani dani mogli nesti mimovilnij DoS efekt Dijsnij DNSSEC vimagaye skladnogo protokolu z shesti povidomlen i veliku kilkist danih dlya zdijsnennya zmin spadkoyemcya vsi DNS zoni spadkoyemcya povinni buti povnistyu peredani batkam batko vnosit zmini i vidpravlyaye yih spadkoyemcyu Krim togo zmini u publichnomu klyuchi mozhut mati absurdnij efekt Napriklad yaksho zona Com zminit svij klyuch dovedetsya vidpraviti 22 mln zapisiv tomu sho dovedetsya onoviti vsi zapisi u vsih spadkoyemciv Takim chinom DNSSEC u viglyadi RFC 2535 ne mozhe buti masshtabovanij do rozmiru internetu IETF zdijsnila principovu zminu DNSSEC yake nazivayetsya DNSSEC bis nazva bula dana shob vidriznyati DNSSEC bis vid pervisnogo pidhodu DNSSEC v RFC 2535 Nova versiya vikoristovuye princip DS angl Delegation Signer dlya zabezpechennya dodatkovogo rivnya nepryamoyi delegaciyi pri peredachi zon vid batka do spadkoyemcya U novomu pidhodi pri zmini vidkritogo klyucha vidsilayetsya tilki odne povidomlennya zamist shesti spadkoyemec posilaye novij vidkritij klyuch batku Batko prosto zberigaye odin vidkritij klyuch dlya kozhnogo iz spadkoyemciv Ce oznachaye sho zovsim nevelika kilkist danih bude vidpravleno batkovi zamist obminu velicheznoyu kilkistyu danih mizh spadkoyemcem i batkom Ce takozh oznachaye sho spadkoyemcyam dovedetsya zdijsnyuvati dodatkovi diyi dlya perevirki klyuchiv Bilshist vvazhaye sho ce nevelika plata za mozhlivist praktichnishogo zastosuvannya DNSSEC DNSSEC vzhe nabuv velikogo poshirennya v usomu sviti Teper z iniciativi rosijskogo reyestratora domennih imen R01 domen RU takozh integrovanij u sistemu DNSSEC Princip robotipershij variant vikoristannya DNSSEC drugij variant vikoristannya DNSSEC V osnovi diyi protokolu DNSSEC lezhit metod cifrovogo pidpisu vidpovidej na zapit DNS lookup yakij zabezpechuye nedotorkannist danih v sistemi DNS Dlya cogo bulo stvoreno kilka tipiv DNS zapisiv v yih chisli RRSIG DNSKEY DS i NSEC Vsya informaciya pro zahishenij domen COM NET UA v sistemi DNSSEC pevnim chinom zashifrovana tomu mozhe buti zminena tilki za dopomogoyu zakritogo klyucha shifruvannya U procesi zahishenogo deleguvannya domenu vidbuvayetsya generaciya pari klyuchiv Informaciya pro klyuchi zberigayetsya na pervinnomu DNS serveri Zakritij klyuch vikoristovuyetsya dlya pidpisu zoni pislya kozhnoyi zmini Cifrovij pidpis zakritogo klyucha DS zapisu angl Designated Signer peredayetsya administratoru batkivskoyi zoni i pidpisuyetsya jogo osobistim klyuchem Takim chinom organizovuyetsya lancyuzhok doviri Znayuchi vidkritij klyuch administratora batkivskoyi zoni mozhna pereviriti validnist vidkritogo klyucha v bud yakij z dochirnih zon Otrimavshi dostup do fajliv z opisom domenu na pervinnomu abo vtorinnomu serverah DNS abo pid chas peredachi danih mizh serverami zlovmisnik ne zmozhe vnesti zmini tomu sho ne ye vlasnikom zakritogo klyucha bud yaki nesankcionovani zmini fajliv budut vidkinuti yak nedostovirni Tak samo ni do chogo ne prizvede sproba zlovmisnika poslati dinamichnij zapit na onovlennya danih pro domen vid imeni inshoyi sistemi Keshuyuchi serveri provajdera organizaciyi i priznacheni dlya koristuvacha sistemi rezolveriv takozh pereviryayut dostovirnist zmin vikoristovuyuchi vidkritij klyuch ZastosuvannyaInternet vvazhayetsya najvazhlivishim zasobom infrastrukturi prote jogo pracezdatnist zalezhit vid principovo nebezpechnogo DNS Takim chinom isnuye velikij stimul ubezpechiti DNS i zastosuvannya DNSSEC yak pravilo vvazhayetsya najvazhlivishoyu chastinoyu roboti Odnak DNSSEC maye skladnosti u rozvitku Krim togo rozgortannya DNSSEC u velikomasshtabnih merezhah takozh problematichno DNS serveri povinni buti onovleni programnim zabezpechennyam sho pidtrimuye DNSSEC Kliyent yakij vikoristovuye TCP IP povinen mati onovlenij DNS Resolver dlya vikoristannya mozhlivostej DNSSEC Bilsh togo bud yakij DNS Resolver povinen mati sposib otrimati prinajmni odin dostovirnij vidkritij klyuch do togo yak vin pochne vikoristovuvati DNSSEC Dlya virishennya cih zavdan vzhe vedetsya znachna robota tomu sho internet maye nastilki vazhlive znachennya dlya bagatoh organizacij Red Pidpis korenevoyi zoni Dlya povnocinnoyi validaciyi vsih danih peredavanih za dopomogoyu DNSSEC potribna lancyuzhok doviri sho jde vid korenevoyi zoni DNS Vprovadzhennya pidpisanoyi korektnim chinom korenevoyi zoni na vsi korenevi serveri DNS moglo viklikati krah suchasnogo Internetu tomu IETF razom z ICANN bula rozroblena postupova procedura vprovadzhennya pidpisanoyi korenevoyi zoni ta mehanizmu poshirennya klyuchiv Procedura zatyagnulasya bilshe nizh na 8 misyaciv i vklyuchala v sebe pokrokove vprovadzhennya na serveri DNS spochatku korenevoyi zoni pidpisanoyi nedijsnim klyuchem elektronnogo pidpisu Cej krok buv neobhidnij dlya togo shob zabezpechiti testuvannya serveriv pid navantazhennyam zberegti zvorotnu sumisnist zi starim programnim zabezpechennyam i zalishiti mozhlivist vidkatu do poperednoyi konfiguraciyi Do chervnya 2010 roku vsi korenevi serveri korektno pracyuvali z zonoyu pidpisanoyi nevalidnim klyuchem U lipni ICANN proviv mizhnarodnu konferenciyu prisvyachenu proceduri generaciyi klyuchiv elektronnogo pidpisu yakim zgodom bula pidpisana koreneva zona 15 lipnya 2010 vidbulosya pidpisannya korenevoyi zoni i pochalosya vprovadzhennya pidpisanoyi zoni na serveri 28 lipnya ICANN povidomiv 2 pro zavershennya cogo procesu Koreneva zona bula pidpisana elektronnim pidpisom i rozpovsyudilasya v sistemi DNS Infrastruktura klyuchivICANN vibrav taku model koli upravlinnya pidpisannyam zoni vidbuvayetsya pid kontrolem predstavnikiv internet spivtovaristva Trusted community representative TCR Predstavniki vibiralisya z chisla ne pov yazanih z keruvannyam korenevoyi zoni DNS Vibrani predstavniki obijmali posadi kripto oficeriv Crypto Officer CO i vlasnikiv chastin klyucha vidnovlennya Recovery key shareholder RKSH CO buli vrucheni fizichni klyuchi sho dozvolyayut aktivuvati generaciyu klyucha ECP ZSK a RKSH volodiyut smart kartkami sho mistyat chastini klyucha KSK vikoristovuvanogo vseredini kriptografichnogo obladnannya Deyakimi ZMI buv zroblenij visnovok sho proceduri yaki potrebuyut prisutnosti CO abo RKSH budut provoditis u razi nadzvichajnih situacij v merezhi 3 Prote vidpovidno do procedur ICANN CO budut zaluchatisya kozhen raz pri generaciyi klyucha pidpisannya zoni ZSK do 4 raziv na rik a RKSH jmovirno nikoli abo u razi vtrati klyuchiv CO abo skomprometovanoyi korenevoyi zoni 4 Potochnij stanNa zhovten 2010 roku v korenevij zoni prisutni 39 nacionalnih domeniv verhnogo rivnya i 9 zagalnih domeniv verhnogo rivnya pidpisanih DNSSEC i zabezpechuyut takim chinom lancyuzhok doviri domenah drugogo rivnya U 2011 roci ochikuyetsya pidpisannya rosijskogo domenu Ru 5 U lyutomu 2012 go rozpochalosya testuvannya serveru DNSSEC dlya domenu UA 7 Programne zabezpechennya DNSSECVikoristannya DNSSEC vimagaye programnogo zabezpechennya yak na servernoyi tak i na kliyentskij storoni BIND angl Berkeley Internet Name Domain Drill ce instrument z pidtrimkoyu DNSSEC sho vhodit v nabir instrumentiv ldns DNSSEC Tools proekt SourceForge spryamovanij na zabezpechennya prostogo u vikoristanni naboru instrumentiv dlya roboti z DNSSEC Unbound Rezolver napisanij z nulya gruntuyuchis na principah roboti DNSSEC Pidtrimka DNSSEC bula nadana v Windows 7 i Windows Server 2008 R2 6 MysqlBind OpenDNSSECPrimitki Using the Domain Name System for System Break Ins 18 lipnya 2018 u Wayback Machine by Steve Bellovin 1995 DNSSEC Root Signing Announcement Shesti programmistam razdali klyuchi dlya perezagruzki interneta DNSSEC for the Root Zone 18 lipnya 2018 u Wayback Machine A Ilin TCI Opyt sozdaniya pilotnoj zony DNSSec dlya RU DNSSEC in Windows Server 1 22 lyutogo 2012 u Wayback Machine V domene UA poyavilsya Mayak DNSSEC PosilannyaDNSSEC 1 serpnya 2015 u Wayback Machine DNSSEC informacijnij sajt DNSSEC ru DNSSEC 23 grudnya 2017 u Wayback Machine DNSSEC information site DNSSEC net DNS Extensions CircleID News and Opinions on all DNSSEC related issues 11 grudnya 2020 u Wayback Machine DNSSEC Tools Project 11 veresnya 2009 u Wayback Machine DNSSEC Deployment Coordination Initiative 4 kvitnya 2018 u Wayback Machine DNSSEC na Hostmaster Ltd Tehnichnij Reglament ta etapi rozgortannya dlya UA Dokumenti RFC RFC 2535 Domain Name System Security Extensions RFC 3833 A Threat Analysis of the Domain Name System RFC 4033 DNS Security Introduction and Requirements DNSSEC bis RFC 4034 Resource Records for the DNS Security Extensions DNSSEC bis RFC 4035 Protocol Modifications for the DNS Security Extensions DNSSEC bis RFC 4398 Storing Certificates in the Domain Name System DNS

Дата публікації:
Топ