Re: Чехите ни изпревариха пак
Идеята е, че криптографската верига (проверката на подписите) съвпада с веригата на делегация. При SSL това не е така. При SSL ти разчиташ на записани на компютъра ти 'root' сертификати. Те са много и поради това, нямаш начин да си сигурен, че всичките те са верни.
По същество SSL е анонимна услуга. Вярно, че 'на сертификата пише на кого е' но какво от това? Цените на 'проверените' сертификати са безумни, затова 'нормалните' администратори на сайтове не ги ползват. На всичкото отгоре, процедурата по проверка също е безумна и доста безсмислена.
За разлика от това, тъй като в DNSSEC веригата на сертификация следва веригата на делегация, то е ясно на кого принадлежи подписа. При правилна реализация на DNSSEC нищо не може да бъде фалшифицирано.
Тук разбира се, идваме до двата основни опонента на DNSSEC
Издателите на SSL сертификати, на които поради разпространението на DNSSEC и съпътстващата образователна програма на много места им лъсва задника. Освен, че самия протокол се оказва голяма издънка (т.е. изобщо не е сигурен), се оказва, че те дълги години са ти вземали много пари за нищо.
Операторите на 'общи' TLD. Както много добре знаете, за тези хора, 'повече продажби, по добър TLD'. Но повечето продажби(*) в случая се случват, защото липсва идентификация на кого е продадено. Те не знаят на кого са регистрирали домейна. Поради това няма как да знаят и кой ще го подписва. Тези хора в момента са в небрано лозе, защото хем много им се иска да не изостават от прогреса, респективно конкуренцията, хем нямат идея какво да направят.
Тези хора дълго бавиха процеса на подписване на root зоната, който е ключов за масовото внедряване и практическо използване на DNSSEC. Но се оказа отново, че конкуренцията е хубаво нещо и .. ще им изиграе лоша шега. Някои от тях решиха, че могат да се прикрепят към малката ни групичка на внедряващи тази технология и да си направят хубав PR. Е, направиха го. Ние всъщност сме им благодарни за това, че се появи сериозен натиск за подписване на root зоната. Сега ще им се наложи много спешно и наистина да внедрят DNSSEC --- а това ще поведе със себе си и някои промени в регистрационните практики -- все в сферата на празните приказки които ви говоря ;-)
(*) принципно става въпрос за услуга, но за много от тези хора нещата се свеждат до проста търговия.