23.05.13

DNSSEC почти не виден

Система DNS

Компания RU-CENTER провела исследование «Внедрение DNSSEC в домене RU - текущее состояние», отражающее практическое использование технологии в российском национальном домене.

В результате исследования было обнаружено 82 домена, для которых в зоне размещены DS-записи. Их количество составило лишь примерно 0,002% от более чем 4,1 млн делегированных доменов на время проведения исследования (с 16 по 20 мая 2013 года). И далеко не все из этих 82 доменов работают корректно: действительно поддерживающих DNSSEC оказалось гораздо меньше, чем тех, для которых в зоне .RU размещены DS-записи. Только 54 домена из проверенных доступны для безопасной работы клиентов.

Оставшиеся 28 доменов не прошли процедуру удостоверения адресной информации в силу разных причин. В их числе 17 зон, которые имеют просроченные (устаревшие) записи RRSIG, содержащие значение электронной подписи. Некоторые просрочены на два и более месяцев. Это свидетельствует о том, что администраторами зон не был выстроен процесс своевременного обновления криптографических подписей. Для еще 10 доменов авторитативные серверы, указанные для них в зоне .RU, не поддерживают DNSSEC и не возвращают соответствующие ресурсные записи. При этом для этих доменов в зоне .RU размещены DS-записи, что означает недоступность адресуемых ресурсов для навигации клиентов, системное окружение которых в полной мере поддерживает DNS-серверы.

Как показала проверка, большая часть доменов, некорректно подписанных DNSSEC, используется для адресации  полноценных веб-сайтов. Эти сайты недоступны для тех пользователей, которые применяют системное программное обеспечение, поддерживающее новую технологию. Однако число таких пользователей пренебрежимо мало, поэтому неисправность DNSSEC практически никто не замечает.

С момента внедрения DNSSEC в домене RU прошло не так много времени – пять месяцев. Этим можно объяснить небольшое число и несущественный рост доменов .RU, поддерживающих новую технологию. DNSSEC нуждается в популяризации, в том числе, среди конечных пользователей, которым надо объяснять необходимость ее внедрения. Например, среди учреждений, для которых защита доменной зоны имеет первоочередное значение — банки и платежные системы. В зоне .RU лидером оказался используемый платежной системой PayPal домен paypal.ru, который уже поддерживает DNSSEC. Развитию DNSSEC будет способствовать и внедрение сопутствующих технологий. Одной из них является DANE (DNS-based Authentication of Named Entities) — инструмент, позволяющий привязать SSL-сертификаты к безопасной DNS.

Новости

26.03.15

Домены Каймановых островов .KY станут доступны всем желающим в сентябре 2015 года

26.03.15

Домен .XYZ подбирается к первому миллиону региcтраций

26.03.15

О соотношении доменного имении и товарного знака по материалам российской судебной практики