Internet nie przestanie działać 5 maja 2010 roku.

27 stycznia 2010 roku rozpoczął się proces testowego podpisywania Strefy Root protokołem DNSSEC. Obecnie Root serwery o nazwach: A, B, C, D, E, F, G, H, I, K, L, M udostępniają już tak podpisaną strefę. Ostatni serwer - J udostępni testową strefę właśnie 5 maja 2010 roku.

Test protokołu DNSSEC polega na tym, że serwery posiadają specjalną strefę nazwaną DURZ (Deliberately Unvalidatable Root Zone - Celowo Nieweryfikowalna Strefa Root). Strefa Root została podpisana właściwymi kluczami DNSSEC, które nie zostały umieszczone w pliku strefy, przez co sama strefa jest nieweryfikowalna. Taki zabieg ma na celu zminimalizowanie efektów globalnego wdrożenia tej technologii.

Wcześniejsze badania wykazały, że problemy z weryfikacją podpisanej strefy mogą mieć niektóre urządzenia skonfigurowane tak, że uznają za nieprawidłowe odpowiedzi DNS większe niż 512 bajtów, oraz:

• resolvery nie wspierające rozszerzenia EDNS0,
• resolvery znajdujące się za urządzeniami, które blokują fragmentację pakietów IP.

Testowe podpisanie Strefy Root ma na celu sprawdzenie, jaki odsetek zapytań narażony jest na powyższe problemy.

Po testowym podpisaniu strefy na ostatnim serwerze specjaliści ocenią, czy wszystko przebiegło zgodnie z założeniami. Jeżeli weryfikacja przebiegnie pomyślnie, to dnia 1 lipca 2010 roku w pliku Strefy Root zostaną opublikowane klucze DNSSEC i strefę będzie można zweryfikować.

Należy zauważyć, że o skorzystaniu z DNSSEC-u decyduje zapytanie, a dokładniej flaga DO (DNSSEC OK) znajdująca się w zapytaniu DNS. Jeżeli flaga ta nie jest ustawiona, to zwracana jest dotychczas stosowana (nie DNSSEC-owa) odpowiedź.

Podpisanie Strefy Root nie oznacza, że wszystkie strefy leżące w hierarchii DNS poniżej tej strefy (np .pl) będą weryfikowalne protokołem DNSSEC. Nastąpi to dopiero, gdy strefa .pl oraz inne strefy zostaną podpisane, a informacje o ich kluczach znajdą się w Strefie Root. To samo dotyczy domen leżących w strefie .pl, będą one weryfikowalne tylko wtedy, kiedy same zostaną podpisane, a odpowiednie dane protokołu DNSSEC znajdą się w strefie .pl. Jak widać, możemy korzystać z protokołu DNSSEC, ale nie musimy i nie jesteśmy do tego zmuszeni.

Informacje na temat podpisywania Strefy Root można śledzić na oficjalnej stronie ICANN dotyczącej tego procesu: http://www.root-dnssec.org/

Sprawdź czy twoja sieć jest gotowa na pakiety DNS o zwiększonym rozmiarze:

• aplikacja w Javie dostępna pod adresem: http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues/

• dla użytkowników Linuxa:

  $ dig +short rs.dns-oarc.net txt

  Opis testu dostępny pod linkiem: https://www.dns-oarc.net/oarc/services/replysizetest/