May062010
关于此次ICANN大规模部署DNSSEC
根据DNSPOD的观察,ICANN已经成功的把DNSSEC部署到13台根DNS服务器上了。
此次部署之紧张,令人始料未及,ICANN事前没有足够的通知,或许背后会有更加深层次的原因。
根据了解,2003年以前生产的网络设备,有不少不支持DNSSEC,这意味着大量运营商都需要升级他们的网络设备。对于来不及升级网络设备的运营商来说,可能会造成他们的用户无法正常解析一个域名,甚至会因为无法解析域名而引起一些小规模的DNS请求风暴。所以未来几天内,可能会有部分地区用户所用的DNS不正常,会经常解析失败,甚至无法解析。但这情况会随着运营商升级他们的设备逐渐解决。
DNSPOD为了应对此次事件,增加了对DNSSEC的支持,但这并不意味着用户用DNSPOD就不会出现解析失败的情况。因为就算DNSPOD解析正常,也有可能因为运营商的设备不支持DNSSEC而导致解析失败。所以问题最终还是要靠运营商去解决。
根据ICANN的时间表,此次大规模部署上线的DNSSEC支持,所使用来加密的KEY只是用来测试,无法作为DNSSEC合法性验证的用途。也就是说,大家都是小白鼠。正式可以使用来加密的KEY,将会在7月份部署上线。
虽然DNSSEC部署上线,但离域名防劫持还有很长一段路要走。因为正式的KEY上线后,需要域名拥有者自己去生成属于自己域名的KEY,并且去DNS服务器上面部署,一般的域名拥有者是玩不来这么复杂的东西的。不过未来DNSPOD可能会帮大家把这些事情都做完。
未来DNSPOD将会继续对此事进行关注和跟进。
附:ICANN的DNSSEC部署时间表
- December 1, 2009: Root zone signed for internal use by VeriSign and ICANN. ICANN and VeriSign exercise interaction protocols for signing the ZSK with the KSK.
- January, 2010: The first root server begins serving the signed root in the form of the DURZ (deliberately unvalidatable root zone). The DURZ contains unusable keys in place of the root KSK and ZSK to prevent these keys being used for validation.
- Early May, 2010: All root servers are now serving the DURZ. The effects of the larger responses from the signed root, if any, would now be encountered.
- May and June, 2010: The deployment results are studied and a final decision to deploy DNSSEC in the root zone is made.
- July 1, 2010: ICANN publishes the root zone trust anchor and root operators begin to serve the signed root zone with actual keys – The signed root zone is available.