На ICANN83 прошел семинар по безопасности и внедрению DNSSEC. Участники обсудили тенденции развития технологий DNSSEC, поделились актуальными исследованиями и практическими кейсами внедрения технологий защиты DNS.
Уже стало традицией, что этот семинар открывает доклад Эрика Остервейла (Verisign), посвященный статистике внедрения технологий DNSSEC, DANE и RPKI в различных зонах, как в национальных, так и в общих. Докладчик продемонстрировал интерактивную карту внедрения DNSSEC в национальных и общих доменах, а также графики роста поддержки DNSSEC, DANE и RPKI в глобальной сети.
Чаой Лу (Tsinghua University) представил новую инициативу SSAC DNSSEC Operational Considerations Work Party, целью которой является изучение практических аспектов внедрения и эксплуатации DNSSEC, выявление препятствий и факторов, влияющих на его использование.
Ондржей Сури (Internet Systems Consortium) рассказал о возможностях применения алгоритмов постквантовой криптографии в качестве алгоритмов для DNSSEC. Он продемонстрировал сравнительные характеристики целого ряда постквантовых алгоритмов и поделился предположениями о возможных трудностях их практического применения. Его коллега Петр Шпачек сообщил о разработке стандарта RFC, касающегося новой ресурсной записи DELEG. Эта запись нужна для хранения дополнительной информации о пространстве, куда делегируется домен, например, о том, какой протокол может быть использован (UDP, TCP, TLS, QUIC), какие возможности предлагает сервер имен и т.д.
Далее участники семинара приступили к обсуждению тематической работы, связанной с решением двух проблем в спецификации DNSSEC-протокола: автоматизации обновления DS-записей (DS Automation update) и процедуры «мультиподписания» (Multi-Signer) ключей. Стив Крокер сделал исторический обзор эволюции стандартов DNSSEC и обозначил ключевые проблемы в обсуждаемый проблематике. Далее Юха Сухонен (Center for Science Финляндии) поделился опытом замены алгоритма ключей зоны на ECDSA, а Шумон Хуке (Salesforce) – особенностями технологии мультиподписания при использовании разных алгоритмов ключей DNSSEC.
Сессию завершили выступления Филипа Барбосы (InternetNZ), поделившегося опытом перестройки среды мультиподписания, и Йохана Стенстама (Swedish Internet Foundation) о сценариях мультипровайдера DNS.
Сегодня ICANN 83 продолжает работу – следите за нашими публикациями!
