Vlákno názorů k článku
Finská doména nejvyšší úrovně deaktivovala DNSSEC od wuji - Z podobneho soudku. Kdyz VeriSign (z duvodu impulsu...

Z podobneho soudku. Kdyz VeriSign (z duvodu impulsu blize nespecifikovaneho individua) nepodepise DS zaznam pro .cz domenu, tak jaky by byl postup?

V takovém případě by v podstatě přestala existovat jedna globální kořenová zóna a nejspíš by velká část internetu časem dokonvergovala k nějaké alternativní kořenové zóně.

no a ta konvergence me zajima. kdyz dnes ve 3:42 rano prestane dnssec validovat domeny v evropskych ccTLD, .eu atd., tak jake jsou nasledujici kroky? Rekneme v 6:30 kdyz se zacne rozjizdet vyroba a najednou systemy nefunguji?
Kdo nevaliduje je v pohode, ale to je asi neco, co nechceme podporovat.
Je pripravena jina cesta nez proste vypinat validator na vsech validujicich resolverech na kontinentu? Protoze uz vidim jak to bajecne funguje takovahle akce. Zajima me proste alternativa k prvotnimu chaosu.

Validace funguje jinak, než si představujete. Publikování DNSSEC klíčů není povinné. Takže validuje se pouze tehdy, pokud se z nadřazené zóny zjistí, že daná doména má být podepsaná. Pokud by tedy z nadřazené zóny klíč zmizel, bude se to chovat úplně stejně, jako kdyby ta doména nikdy podepsaná nebyla.

Horší by bylo, pokud by se v nadřazené zóně publikovaly špatné klíče, nebo pokud by v nadřazené zóně klíče byly, ale doména by podepsaná nebyla. To by znamenalo, že by se podepsané domény nepřeložily.

Teoreticky by někde někdo mohl mít konfiguraci, že u některých domén je validace DNSSEC povinná. Nicméně to moc nedává smysl a bez znalosti toho speciálního systému se nedá říct, jak by se choval.

Tyhle procesy ale už nejsou ani pod nepřímou kontrolou vlády USA. (tak jak to chápu) Přestože jde o USA organizace/firmy. Trochu podobně jako .cz není pod kontrolou české vlády/státu.

Jinak, obsah root zóny spíš rozhoduje IANA+ICANN, ne Verisign, ale tak jako tak se bavíme o nějakém hypotetickém puči, v podstatě...