5 мая этого года служба имен Интернета DNS переходит на новый протокол

5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.

Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать современный Интернет более безопасным. Во всяком случае, новый протокол полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008 года.

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Возможным решением проблемы может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.

Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не стоит –
все равно без участия провайдера сделать будет ничего нельзя.

14.04.2010
Источник

 

Главное чтобы интернет не тормозил от этого перехода.

 

Возможно прост отключат нет не на долго и всё

 

провайдеры все порешат

 

записываем айпишники
начнем с местного - 188.40.76.205

 

Вероятно будут новые дыры, нет ничего совершенного!

 

амулет "DnsSec"
геморрой +100
время -10
скорость -10

 

Улыбнуло. еще дополнить
полезность -50
армор айтишников +1

Если этот финт ушами сделают он не пройдет без последствий с учетом сколько бабла протекает через инет и что он значит в повседневной жизни. А наши провайдеры я больше чем уверен к этому просто не готовы + часть оборудования просто перестанет работать точнее даж не часть а так процентов 80.

 

да ладно. прорвемся!

 

Мы то да а прорвутся ли они от судебных исков =)))))))))))

 

как понос
им ничего не будет, это скорее всего очень хорошо продуманое решение... посмотрим

 

будет будет, на мейле новость называется "Интернет может закончиться 5-го мая" так что качайте порнуху)) недолго осталось

 

хех а вот Чехия давно уже на этом седит

 

как раз на мою днюху ))) нужно будет запомнить потом детям рассказывать буду)))

 

твоим детям это будет абсолютно пох. это как если б тебе родители(или их родители) рассказали, как не работал телефон, когда связь с телефонисток на авто-коммутаторы переходила)))

 

ах, какая ВНЕЗАПНАЯ неспашечка!

и станем мы обмениватся ссылками в формате 192.168.0.5/hack-0-day.zip - в обход DNS ))

 

Не какие то там vkontakte.ru, а ip - романтика.

 

поторопились, надо было запустит 21 декабря 2012 и все..