Интернет магазин китайских планшетных компьютеров



Компьютеры - DNSSEC - История

12 июня 2011


Оглавление:
1. DNSSEC
2. Описание
3. История
4. Принцип работы
5. Применение
6. Инфраструктура ключей
7. Текущее состояние



DNS является одним из важнейших и основных интернет-сервисов. Однако в 1990 Стив Белловин выявил серьезные недостатки в безопасности. Исследования в этой области начались и проводились полным ходом со времен публикации доклада в 1995.

RFC 2065 был опубликован IETF в 1997. Первые попытки реализации этой спецификации привели к новой спецификации RFC 2535 в 1999. Было запланировано реализовывать DNSSEC, основываясь на IETF RFC 2535.

К сожалению, у спецификации IETF RFC 2535 были очень серьезные проблемы с масштабированием на весь интернет. К 2001 году стало ясно, что эта спецификация была непригодна для крупных сетей. При нормальной работе DNS серверы часто десинхронизировались со своими родителями. Обычно это не являлось проблемой, но при включенном DNSSEC десинхронизованные данные могли нести непроизвольный DoS эффект. Подлинный DNSSEC требует сложного протокола из шести сообщений и большое количество данных для осуществления изменений наследника. Кроме того, изменения в публичном ключе могут иметь абсурдный эффект. Например, если зона ".com" изменит свой ключ, придётся отправить 22 миллиона записей. Таким образом, DNSSEC в виде RFC 2535 не может быть масштабирован до размера интернета.

IETF осуществила принципиальное изменение DNSSEC, которое называется DNSSEC-bis. Новая версия использует принцип DS для обеспечения дополнительного уровня косвенной делегации при передаче зон от родителя к наследнику. В новом подходе при смене открытого ключа отсылается только одно сообщение вместо шести: наследник посылает новый открытый ключ родителю. Родитель просто хранит один открытый ключ для каждого из наследников. Это значит, что совсем небольшое количество данных будет отправлено родителю вместо обмена огромным количеством данных между наследником и родителем. Это также значит, что наследникам придется совершать дополнительные действия для проверки ключей. Большинство считает, что это небольшая плата за возможность более практичного применения DNSSEC.



Просмотров: 6129


<<< DNS
DOCSIS >>>