Кто-нибудь использует DNSSEC на авторитарном DNS?
Добавлено: 2009-03-13 10:56:14
Мне тут вопрос задали по DNSSEC и я честно ответил, что с предметом почти не знаком.
Мне интересно - кто-нить уже сейчас имеет реальный опыт использования DNSSEC на авторитарных серверах обслуживающих какую-либо зону?
В случае задействования DNSSEC на кеш-сервере все вроде как ясно - прописывем публичные ключи какой-то зоны в качестве якорей и далее при обращение к ней кеш будет проверять сигнатуры. В случае задействования на кеше инфраструктуры DLV тоже все понятно.
Интересно было бы услышать от людей о реальном применении DNSSEC на авторитарном сервере. Как работаете с KSK и ZSK ключами, как часто меняете KSK и ZSK, сколько по деньгам стоит построить цепь доверия от вышестояшего (разместить у него в зоне свои DS RR записи с ключами), в DLV кто-нить свои ключи отправлял (сколько по деньгам), насколько гиморно возиться со всем этим - есть какие-нибудь средства автоматизации?
Короче comments are wolcome.
Мне интересно - кто-нить уже сейчас имеет реальный опыт использования DNSSEC на авторитарных серверах обслуживающих какую-либо зону?
В случае задействования DNSSEC на кеш-сервере все вроде как ясно - прописывем публичные ключи какой-то зоны в качестве якорей и далее при обращение к ней кеш будет проверять сигнатуры. В случае задействования на кеше инфраструктуры DLV тоже все понятно.
Интересно было бы услышать от людей о реальном применении DNSSEC на авторитарном сервере. Как работаете с KSK и ZSK ключами, как часто меняете KSK и ZSK, сколько по деньгам стоит построить цепь доверия от вышестояшего (разместить у него в зоне свои DS RR записи с ключами), в DLV кто-нить свои ключи отправлял (сколько по деньгам), насколько гиморно возиться со всем этим - есть какие-нибудь средства автоматизации?
Короче comments are wolcome.