DNSSEC: Malsamoj inter versioj

1 534 bitokojn aldonis ,  antaŭ 6 jaroj
→‎Historio: la rubriko estas parte tradukita
(→‎Historio: la rubriko estas parte tradukita)
(→‎Historio: la rubriko estas parte tradukita)
 
La unua versio de DNSSEC, RFC 2065, estis publikigita de IETF en 1997. Provoj realigi tiun specifon venigis al nova specifo, RFC 2535, en 1999. Estis planite realigi DNSSEC surbaze de <nowiki>RFC 2535</nowiki>.
 
Bedaŭrinde, la specifo fare de IETF <nowiki>RFC 2535</nowiki> havis seriozajn problemojn rilate skaladon al la tuta Interreto. Al la 2001-a jaro iĝis klare, ke tiu specifo estas maltaŭga por grandaj retoj. Dum normala funkciado DNS-serviloj ofte malsinkroniĝadis kun siaj ''patroj'' (superaj en la hierarkio domajnoj). Ordinare tio ne estis problemo, sed kaze de uzata DNSSEC la malsinkrona datumo povis kaŭzi pretervolan DoS-efikon. Protektita DNS estas ege pli risurckonsuma kaj kun plia, kompare al la «klasika» DNS, facileco povas okupi ĉiujn komputajn risurcojn.
 
La unua versio de DNSSEC estis postulanta komunikadon el ses mesaĝoj kaj grandan kvanton de datumo por okazigi ŝanĝojn de ''heredanto'' (ĉiuj DNS-zonoj de heredanto devas esti komplete transdonitaj al ties patro, la patro faras ŝanĝojn kaj sendas ilin reen al la heredanto). Krome, ŝanĝoj en publika ŝlosilo povis havi katastrofan efikon. Ekzemple, se la zono «.com» ŝanĝus sian ŝlosilon, estus bezonate sendi 22 milionojn da rikordoj (ĉar necesus aktualigi ĉiujn rikordojn en ĉiuj heredantoj). Do, DNSSEC laŭ la skemo de RFC 2535 ne povis esti skalita ĝis la amplekso de Interreto.
 
Tiuj malfacilaĵoj siavice venigis al apero de novaj specifoj (RFC 4033, RFC 4034, RFC 4035) kun gravaj ŝanĝoj en DNSSEC (DNSSEC-bis), kies nova versio eliminis la precipan problemon de la antaŭa realigo kaj, kvankam laŭ la nova specifo klientoj bezonas fari aldonajn agojn por kontroli ŝlosilojn, ĝi montriĝis tute taŭga por praktika aplikado.