DNSSEC - fórum
Kategorie: Služby / DNS
Nový příspěvekChcete-li odebírat toto téma e-mailem, přihlašte se nebo se nejprve zaregistrujte.
DNSSEC
Budete při spuštění služeb nabízet automaticky DNSSEC pro .cz domény stejně jako to dělá ACTIVE24 a WEB4U?
Re: DNSSEC
Podporu DNSSEC nabídneme, sice zřejmě nikoliv hned v září při spuštění doménových služeb, ale co nejdříve jej zavedeme.
Druhá věc je automatické zavedení DNSSEC u všech domén registrovaných přes nás. Je to diskutabilní. Sice to přináší výrazně lepší zabezpečení, ale také obrovské množství komplikací způsobených neznalostí uživatelů. Jako třeba když si majitel doménu převede na jiné DNS servery a nepostará se o DNSSEC také na nových DNS. V tom okamžiku začnou celou doménu a všechny její záznamy DNS resolvery se zapnutým DNSSEC odmítat. A stane se to proto, že třeba majitel domény o žádném DNSSEC nic neví a ani neví, že něco takového u domény má.
Takže ono to není tak růžové jak to může vypadat a jak to mohou někteří registrátoři prezentovat. Vlastně to tuším Web4U na konferenci LinuxExpo i přiznalo, že s tím problémy jsou, tráví spoustu času hádkami se zákazníky a řešením mrtvých domén po změně DNS.
Takže odpověď na vaši otázku zní: Ne, nezavedeme implicitní použití DNSSEC u domén registrovaných u nás. Alespoň ne ze začátku. Je s tím prostě mnoho komplikací.
Re: DNSSEC
Ne, omlouvám se, mluvil o tom hlavně Tomáš Hála z Active24 na konferenci IT 2010 (http://www.nic.cz/it10/).
Re: DNSSEC
Tak jsem se teďka dodíval na záznam té přednášky a podle toho, co pan Hála vykládal, je to spíš chyba CZ.NICu, že ostatní registrátory nedonutil mít řešení tohoto problému, případně že to sám neřeší. Rozhodně mi to nepřipadá jako problém ACTIVE24. Navíc ti zákazníci stejně od A24 odcházejí. Co se týče toho, že někteří zákazníci DNSSEC nechtějí a nevěří podpoře, že skutečně na té doméně DNSSEC funkční není - na to se dá jenom říct, že idioti jsou všude a zabývat se jimi na podpoře také budete muset vždycky.
Ale díky, pokud bude možné DNSSEC na vašich serverech provozovat i když to nebude automatické, mně to vyhovovat bude.
Re: DNSSEC
On to není "problém" ACTIVE 24 ani problém CZ.NICu a dalších registrátorů. Je to prostě dané tím, že když u domény měníte DNS servery, tak se musíte postarat o to, aby byly záznamy podepsané i na těch nových DNS serverech.
Ty nové samozřejmě musí DNSSEC podporovat, musíte správci nových DNS poskytnout privátní klíč pro podepisování záznamů, příp. zavést novou sadu klíčů. Jenže zkuste toto vysvětlit lidem, kteří o tom vůbec netuší, protože ani neví, že nějaké DNSSEC existuje, k čemu to je a jak to funguje. A ani třeba netuší, že je to nastavené u jejich domény, protože se tak stalo implicitně.
Když nově použité DNS servery DNSSEC vůbec nepodporují, musíte se u CZ.NICu postarat o zrušení používání DNSSEC.
Když se to všechno správně neudělá, budou DNS resolvery se zapnutou kontrolou DNSSEC tuto doménu považovat za chybnou. A nastane ona "DNSSEC smrt".
Takže je otázka, zda to stojí za to implicitně zavádět DNSSEC u domén zákazníků, kromě efektu s tím související marketingové kampaně. Zákazníci to neocení, budou se akorát rozčilovat když jim doména kvůli tomu přestane fungovat.
Když někdo ví co je DNSSEC a co to přináší a obnáší, nechť si jej u domény zapne sám.
Re: DNSSEC
http://www.root.cz/clanky/ondrej-filip-cz-nic-openid-jeste-nikdo-nechytil-za-spravny-konec/nazory/358867/ - Toto by mohlo řešit zmíněný problém.
Důležité články
