Niemieckie serwery testowe DNSSEC już obsługują całą domenę .DE

Według DENIC-u, już teraz dwa klastry resolwerów we Frankfurcie (81.91.161.228) i Amsterdamie (87.233.175.25) odpowiadają na zapytania DNS z rozszerzeniami DNSSEC, jako serwery autorytatywne i nierekursywne. Codziennie będą one otrzymywały najświeższy plik strefy .DE z serwerów produkcyjnych, który będzie podpisywany cyfrowo przez DENIC.

DENIC opublikował na bezpiecznej stronie Zaufany Klucz (tzw. kotwicę zaufania – Trust Anchor) , który pozwala na podłączenie się do środowiska testowego. Klucz taki jest kopią publicznej części 2048-bitowego „Klucza podpisującego Klucz” (key signing key), który przekazywany jest do resolwera jako Klucz Zaufany. Klucz taki pozostanie aktualny do odwołania.

To jednak nie wszystko w tym nawarstwieniu instrumentów bezpieczeństwa – oprócz 2048-bitowego klucza podpisującego klucz, wykorzystywany jest 1024-bitowy klucz podpisujący strefę, który zmieniany jest co pięć tygodni.

Wszystkie etapy wdrożenia do tej pory wprowadzane były zgodnie z planem – dlatego zapewnie Niemcom uda się też na czas zdążyć z etapem kolejnym. Od 2 marca 2010 ma być możliwe przekazywanie rekordów DNSKEY towarzyszących rejestrowanym domenom do bazy danych DENIC-u.

Jeśli wszystko pójdzie dobrze, całość prac nad uruchomieniem DNSSEC w domenie .DE zakończyć się ma się do końca tego roku. Nie wiadomo jednak, czy ich zakończenie będzie oznaczało natychmiastowe przejście na bezpieczną wersję DNS. Dyrektor DENIC-u, Sabine Dolderer, jest przekonana, że system nie jest jeszcze gotowy do powszechnych zastosowań, brakuje dobrych narzędzi do jego automatyzacji.

Warto jednak pamiętać, że wprowadzenie zmian w domenie najwyższego poziomu, która obecnie znów jest numerem 2. pod względem liczby zarejestrowanych nazw (nr 1. to oczywiście .COM), też nie jest sprawą tak łatwą, jak to było w wypadku domen Bułgarii czy Szwecji.

Źródło: Denic.de

Napisz komentarz