If you hold the [DNSSEC] keys
you can decide who is the root zone file editor
and who are the root servers.
You hold the keys to the Internet kingdom.”
Paul Vixie
Если в ваших руках (DNSSEC) ключи, вы можете решать кто управляет корневыми зонам, и кто - корневыми серверами.
У вас в руках - ключи от Королевства интернет.
Пол Викси
Разрабатывая интернет несколько десятилетий назад, мало кто мог предвидеть и решить тогда вопросы безопасности, которые привели нас сегодня к проблемам спама, фишинга и спуфинга.
Последние 10 лет в интернете только ленивый не кричал о необходимости добавления элементов, обеспечивающих безопасность, в интернет протокол. Первые спецификации были предложены еще в середине 90-х, после чего в 1997 Internet Engineering Task Force (IETF) опубликовала соответствующие стандарты RFCs (ссылка по теме). Начиная с 2001 стандарты несколько раз переписывались и ,наконец, в марте 2005 было опубликовано теперь уже 3 независимых RFC, охватывающих требования, дополнительные ресурсы,и другие доработки протокола. Технические и организационные сложности наряду с противоречивостью задачи обеспечения безопасности DNS затягивали решение данной проблемы. (ссылка по теме)
Изобретатели интернет, такие как Paul Vixie вместе другие участниками процесса продолжили работу по решению проблемы обеспечения безопасность интернета . Уже 17 мая 2007 группа разработчиков DNSSEC во главе сPaul Vixie (ISC), David Conrad (IANA), Scott Rose (US Department of Commerce-NIST), Matt Larson (VeriSign), и Thierry Moreau (Connotech) собралась в здании посольства Швейцарии, в Вашингтоне, для обсуждения вопросов запуска результатов разработок DNSSEC (ссылка по теме). Следует отметить, что многие из авторов DNSSEC давно разочарованы и не испытывают доверия к роли ICANN в регулировании интернет. Исключительно, критически важным вопросом стал вопрос выбора главной, по сути контролирующей весь интернет авторитетной организации - организации которая будет хранить «ключи» от КАЖДОГО доменного имени/вебсайта всего интернета.
Вскоре для всех стало очевидно, что ICANN сам хочет получить права такой авторитетной организации. Изобретатели данной технологии рассчитывали. что либо международный консорциум, либо некая признанная всеми юридическая фирма или банк с безупречной репутацией будут держателями «ключей» от интернета до разрешения вопроса с ролью ICANN.
Для разрешения данного вопроса около года нзад была назначена встреча в Вашинктоне, где участники обсуждения – неудволетворенные состоянием дел создатели системы и ICANN подолжили консультации по согласованию авторитетной организации. Представитель МВБ -Министерства Внутренней Безопасности (Department of Homeland Security) США присуствовавший на встрече заявил, что его организация настаивает на том, чтобы управляющей организацией держащей «ключи от интернета» стал ICANN, а МВБ США при этом будет иметь к ним беспрепятственный специальный доступ (ссылка по теме).
ICANN дал согласие на сотрудничество, что не удивительно, учитывая недавно принятый в США закон, известный как «Патриотический Акт»(ссылка по теме) и безграничную власть которой обладает Министерство Внутренней Безопасности. Создатели системы, не ожидавшие такого развития событий, публично заявили , что они очень сожалеют об этом решении. «Лучше бы мы вообще никогда не изобретали DNSSEC» - заявили они.
Тогда как ситуация с беспрепятственный специальный доступом МНБ США остается в силе, ICANN начал продвижение вперед в этом вопросе, начав оказывать давление на некоторых представителей cctlds с тем чтобы они «подписали корневое соглашение» - т.е. обеспечили выполнение протокола DNSSEC и согласились с передачей ключей в ICANN. На сколько нам известно на сегодня подписано 6 соглашений - .BG Болгария , .BR Бразилия .SE Швеция, .PR - Пуэрто-Рико. Недавно .ORG перешел на протокол DNSSEC. Идет подготовка в .UK, .CZ и .GOV
24 июля 2008 ICANN выпустил Domain Names Security Paper http://www.icann.org/en/announcements/announcement-24jul08-en.htm, где обьявлено о намерении ICANN уже к концу 2008 года «подписать» корневые сервера, т.е. перевести корневые сервера на технологию DNSSEC.
Предвидится, что держатели всех новых gTLD и ccTLD, в том числе и IDN TLD по умолчанию будут обязаны заключить с ICANN соглашение о DNSSEC. Такая же перспектива ожидает Россию, намеревающуюся получить TLD на русском по процедуре фаст-трак.
Итак, мы видим, что альтернативы для DNSSEC в интернете уже нет – джинн выпущен из бутылки. Польза DNSSEC ни у кого не вызывает сомнений – повысится безопасность интернет, снизится вероятность атак на DNS сервера.
Однако, остается вторая (политическая) сторона DNSSEC, о которой сейчас умалчивается – в чьих руках будут ключи от Королевства Интернет? Об этом всем нам стоит серьезно задуматься
