Примерно в середине сентября 2021 года на сети Мегафон заработала DNSSec валидация. Такой вывод можно сделать из изменений в графике на ресурсе stats.labs.apnic.net.
На сети МТС DNSSec валидация была включена в начале апреля 2021. График можно посмотреть вот по этой ссылке.
Статистический ресурс APNIC в TOP10 по количеству сэмплов из России показывает AS12389 (Ростелеком), AS16345 / AS8402 (Билайн) и AS12958 (Теле2). В указанных сетях пока все плохо и там где показатель порядка 30% скорее всего означает, что валидация включена не на операторских DNS серверах, а у клиентов этих операторов.
Если же рассматривать карту, то Россия выглядит не плохо и на текущий момент валидация составляет порядка 37,5% и мы по этому показателю не сильно уступаем США (39,68%). Это означает, что 37% DNS серверов России уже умеют проверять валидность DNS-записей в подписанных зонах. Однако, в этой бочке меда есть и ложка дегтя и она в том, что по тем данным, которые мне удалось найти, подписанных доменов в зоне RU порядка 5300, а это примерно 0,1% от общего количества, при том, что в зоне COM этот показатель порядка 2,6%, что на мой взгляд, тоже не много с учетом того, что технология уже довольно старая (RFC от 2005 года).
В заключении, хотелось бы пожелать, чтобы и остальные операторы вступили в "клуб", а владельцы доменов с учетом того, что уже не мало DNS-серверов в RuNET умеют проверять DNS-записи по технологии DNSSec, задумались о том, чтобы подписать свои зоны (в первую очередь это относится к банкам и к таким доменам, как gosuslugi.ru, mos.ru, nalog.ru и др.).
Ссылки по теме:
Комментарии (6)
dendron
19.11.2021 00:50+7А другой рукой эти же люди ловко запрещают DNS-over-TLS и TLS 3.0, потому что "порядочному гражданину нечего скрывать".
Pas
DNSSec это не только ценный мех, но ещё и хороший маркер потенциальных манипуляций с зонами через пресловутую НСДИ.
censor2005
Можете подробнее раскрыть мысль? В DNSSEC, DS-записи домена размещаются в родительской зоне, причём тут НСДИ и манипуляция с зоной?
Pas
НСДИ отдаёт в том числе рутовую зону. Если вдруг версия рутовой зоны от НСДИ будет отличаться от оригинальной рутовой зоны, то валидация не пройдёт. Это для того случая, что кто-то валидирует у себя, а не использует НСДИ в качестве примитивных рекурсоров.
eov Автор
Пока НСДИ ведет себя вполне прилично и отдает все честно. А вот если захотят что-то поменять в корневой зоне, то будет больно (сервера с включенной валидацией откажутся резолвить сломанную зону, ибо подписать её правильным ключом у НСДИ не получится).
Pas
Я уже как-то высказывал мнение (утопичное?) что НСДИ выглядит как удобный плацдарм для возвращения ГОСТовых криптоалгоритмов в DNSSec. Например, ГОСТ2012 или чего посвежее. Далее идёт кросс-подпись всех зон, которые обслуживаются НСДИ, такой подписью с ключиками в руках РКН/ТЦИ/Ростелекома, в том числе корневой. Далее обязаловка всех, кто обязан использовать НСДИ, отдавать приоритет в валидации именно ГОСТовой подписи.