Google validuje DNSSEC na svých veřejných DNS (aktualizováno)

BIND9 má standardně zapnutou podporu DNSSEC, takže ověřuje podpisy, ale nemá nastavený trust anchor, takže není schopen říct, jestli jsou ty podpisy pravé (takže to celé dělá zbytečně :) ). Stačí ale nastavit trust anchor a celé se to rozběhne.

Jen při takovémhle řetězení a DNSSECu pozor, někdy je problém s wildcardovými doménami. Udělal jsem na to takový testík na http://0skar.cz/dns/ a podle všeho tím Google naštěstí postižen není.

To sice ano, ale zase na druhou stranu, zapnutí validace nemůže bezpečnost uživatele snížit (pokud tedy nějaká aplikace závislá na DNSSEC slepě nedůvěřuje AD flagu v DNS odpovědi). Navíc vzhledem k tomu, kolik uživatelů Googlí DNS používá (a někdy i nedobrovolně), odpadnou konečně problémy, kdy správce domény špatně nastaví DNSSEC, ale nikdo si toho nevšimne protože validaci skoro nikdo nedělá.

Takže by si třeba Černohorci konečně mohli opravit vládní web www.vlada.me :)

Přiznám se, že trochu nevím, jak se k tomu postavit. A nejsem v tom sám (viz diskuze http://dnssec-deployment.org/pipermail/dnssec-deployment/2013-March/006379.html).

Na jednu stranu je skvělé, že do toho Google vůbec šel, a rozšíření DNSSECu si myslím to velmi pomůže. Na druhou stranu jejich řešení, kdy validuje DNSSEC pouze v případě, že pošlete dotaz s DO nebo AD flagem, porušuje specifikaci DNSSECu a většině uživatelů toho moc nepřinese, protože stub resolvery buď tyto flagy neumí posílat (standardní stub resolver nemá zapnutou ani podporu EDNS0).

Nakonec bych to ohodnotil jako velmi pozitivní krok pro nasazení a rozšíření DNSSECu, ale tento způsob validace zdá se mi poněkud nešťastný.

Aha, to kompletně mění situaci. Takže weby jako www.rhybar.cz budou uživatelům Google Public DNS nadále fungovat. Takže je to vlastně vcelku k ničemu :(

Díky, doplním to do zprávičky.

Není to tak, že je to jakási forma betatestu? Tedy že se validace DNSSEC nedostane k běžným uživatelům, ale pokud ji chce někdo se servery Googlu vyzkoušet, má možnost. A až se ověří, že vše funguje a nikde se nic nerozbilo, zapne to Google pro všechny.

Myslím, že by si Google nedovolil to jen tak bez varování zapnout pro všechny uživatele, když je zřejmé, že se tím spoustě uživatelů „rozbije internet“ (protože chodí na web, který má DNSSEC nakonfigurováno špatně, a Google by jim přestal vracet odpovědi). Takhle je šance pro správce serverů DNSSEC si opravit a otestovat si to na serverech Google.

Kéž by tomu tak bylo. Předpokládá se ale, že Google DNSSEC testuje už dlouho, aspoň Geoff Huston na to přišel ve svém měření DNSSECu. Možná ale je tohle další fáze testů. V každém případě tu tiskovku si měli schovat až na chvíli, kdy jim to začne fungovat pořádně.

Tak uz se Google vyjadril a plan je takovy, ze to ted chteji zkouset a pakbto zapnou vsem...

From Ben Laurie:
With my Google hat on.

It was not our intent to mislead anyone over who was protected, but it
turned out to be hard to nail down, and as a result the FAQ ended up
rather technical, as people have observed.

We are updating the FAQ to make it plain that most people are _not_
currently protected, but that this is an initial phase while we ensure
that we will not break everyone. Once that's over, we'll enable it by
default.

Sorry for any confusion!

DNSSEC validující server na nezabezpečeném kanále nemůže být méně bezpečný než obyčejný DNS server. Tak jako tak mu není možné věřit informaci, že odpověď je pravá, ale jako přidanou hodnotu vám takový server řekne, když už u sebe uvidí podvrh.

Protože Google Public DNS používá opravdu hodně lidí, má to hlavně symbolický význam rozbití problému slepice a vejce v nasazení DNSSEC, podobně jako se díky World IPv6 Launch pomalu rozbíjí problém slepice a vejce u IPv6.