Интернет магазин китайских планшетных компьютеров



Компьютеры - Обсуждение участника:Таня Члек - Історія

23 января 2011


Оглавление:
1. Обсуждение участника:Таня Члек
2. Опис
3. Історія
4. Принцип роботи
5. Застосування
6. Інфраструктура ключів
7. Поточний стан
8. Примітки



DNS є одним з найважливіших і основних інтернет-сервісів. Проте в 1990 Стів Белловін виявив серйозні недоліки в безпеці. Дослідження в цій області почалися і проводилися повним ходом з часів публікації доповіді в 1995.

RFC 2065 був опублікований IETF в 1997. Перші спроби реалізації цієї специфікації призвели до нової специфікації RFC 2535 у 1999. Було заплановано реалізовувати DNSSEC, грунтуючись на IETF RFC 2535.

На жаль, у специфікації IETF RFC 2535 були дуже серйозні проблеми з масштабуванням на весь інтернет. До 2001 року стало ясно, що ця специфікація була непридатна для великих мереж. При нормальній роботі DNS сервери часто десинхронізіровалися зі своїми батьками. Зазвичай це не було проблемою, але при включеному DNSSEC десинхронізовані дані могли нести мимовільний DoS ефект. Дійсний DNSSEC вимагає складного протоколу з шести повідомлень і велику кількість даних для здійснення змін спадкоємця. Крім того, зміни у публічному ключі можуть мати абсурдний ефект. Наприклад, якщо зона ". Com" змінить свій ключ, доведеться відправити 22 млн записів. Таким чином, DNSSEC у вигляді RFC 2535 не може бути масштабований до розміру інтернету.

IETF здійснила принципову зміну DNSSEC, яке називається DNSSEC-bis. Нова версія використовує принцип DS для забезпечення додаткового рівня непрямої делегації при передачі зон від батька до спадкоємця. У новому підході при зміні відкритого ключа відсилається тільки одне повідомлення замість шести: спадкоємець посилає новий відкритий ключ батьку. Батько просто зберігає один відкритий ключ для кожного із спадкоємців. Це означає, що зовсім невелика кількість даних буде відправлено батькові замість обміну величезною кількістю даних між спадкоємцем і батьком. Це також означає, що спадкоємцям доведеться здійснювати додаткові дії для перевірки ключів. Більшість вважає, що це невелика плата за можливість більш практичного застосування DNSSEC.

DNSSEC вже набув великого поширення в усьому світі. Тепер, з ініціативи російського реєстратора доменних імен R01, домен RU також інтегрований у систему DNSSEC.



Просмотров: 3495


<<< Сетевые сервисы
Тип обслуживания >>>