DNSSEC в народ

На конференции ICANN в Картахене состоялась секция, посвященная обсуждению текущего положения дел в области внедрения технологии DNSSEC, которая позволяет устранить ряд уязвимостей, существующих в системе доменных имен (DNS).

Несмотря на то, что к настоящему моменту с использованием DNSSEC подписана корневая зона DNS и целый ряд доменов верхнего уровня, технология пока что не находит популярности у владельцев доменных имен и конечных пользователей.

Многие до сих пор не ощущают необходимости внедрения DNSSEC, не считая технологию необходимым элементом безопасности. Вместе с тем в целом ряде случаев настройка DNSSEC остается достаточно непростым процессом, требующим определенных знаний и навыков.

Со всем этим рано или поздно необходимо будет справиться, в противном случае технология так и не приобретет массовости.

Одним из способов популяризации DNSSEC могут стать директивные решения по ее внедрению, принятые на уровне ICANN и отдельных стран. Например, можно обязать администраторов доменов верхнего уровня, разработчиков приложений и провайдеров включать поддержку DNSSEC. Однако императивный метод воздействия на участников рынка эффективен далеко не во всех случаях.

Поэтому важно также проводить просветительскую работу о преимуществах технологии, убеждать производителей ПО разрабатывать его с учетом существования DNSSEC.

Кроме того, использование DNSSEC должно стать простым. В этом направлении предпринимаются определенные шаги. Например, в BIND последних версий процесс настройки DNSSEC стал более автоматизированным. Также вводят автоматизацию и регистраторы, работающие с DNSSEC.

Есть примеры и императивного воздействия. Например в домене Бразилии, где уже несколько лет поддерживается DNSSEC, запрещено делегирование неподписанных премиум-доменов.

Кстати, на уровне реестров доменов верхнего уровня технология распространяется достаточно быстро. Со дня на день должно завершиться ее внедрение в домене NET, в ближайшее время к нему присоединится и другая старейшая зона — COM.

В российских национальных доменах также уже в течение полугода идет тестирование DNSSEC. В случае если эксперимент будет признан успешным, технология начнет применяться в боевом режиме.

Впрочем для того, чтобы DNSSEC стала по-настоящему массовой, необходима ее поддержка как на уровне конечных пользователей, так и на уровне отдельных доменных имен, провайдеров, регистраторов, и регистратур. И надо признать, что пока этого нет.