Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).
Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.
У меня в телеграме есть чатик по DNSSEC/DNSCrypt. Очень грустно разговаривать самому с собой. В FB и VK этим спамит тоже странно и бессмысленно. Вдруг кто чего. telegram.me
00) забэкапить DNS
01) восстановить в лабе, в изолированной сетке, затестить,
проверить что всё работает
02) навесить роль DNS/Doman Controller, установить одностороннее доверие
03) добавить SAMBA-файлопомойку вторичным контроллером к новому
04) поднять в виртуалке Win2016Nano для виндовых контейнеров
05) купить писюк под хост/ферму
06) всё это собрать в кластер, потестировать методом произвольного (наугад)
гашения отдельных элементов/узлов
07) поднять MatterMost, SpreeCommerce, OpenProject, MoinMoin, OwnClowd (CardDAV и т.д.) и т.д. и т.п.
08) написать документацию
09) поднять vSRX, сделать динамическую маршрутизацию, помечтать об автономке
10) поднять мониторинг
11) развернуть PostGre, сделать репликацию
12) отчёты и справочки в LDAP и обратно (из него)
13) BYOD
14) компьютерные курсы
15) добиться, чтобы всё это переживало 3 месяца моего отсутствия
...
16) PROFIT!!!
Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.
давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...
В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены
и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?
а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?
второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма
менеджер Directi ответил про DNSSEC "Thanks for your recommendation. I will forward this to the concerned team and if possible we will try and introduce it."
