Vlákno názorů k článku
Google validuje DNSSEC na svých veřejných DNS (aktualizováno) od Ondřej Surý - Přiznám se, že trochu nevím, jak se k...

Přiznám se, že trochu nevím, jak se k tomu postavit. A nejsem v tom sám (viz diskuze http://dnssec-deployment.org/pipermail/dnssec-deployment/2013-March/006379.html).

Na jednu stranu je skvělé, že do toho Google vůbec šel, a rozšíření DNSSECu si myslím to velmi pomůže. Na druhou stranu jejich řešení, kdy validuje DNSSEC pouze v případě, že pošlete dotaz s DO nebo AD flagem, porušuje specifikaci DNSSECu a většině uživatelů toho moc nepřinese, protože stub resolvery buď tyto flagy neumí posílat (standardní stub resolver nemá zapnutou ani podporu EDNS0).

Nakonec bych to ohodnotil jako velmi pozitivní krok pro nasazení a rozšíření DNSSECu, ale tento způsob validace zdá se mi poněkud nešťastný.

Aha, to kompletně mění situaci. Takže weby jako www.rhybar.cz budou uživatelům Google Public DNS nadále fungovat. Takže je to vlastně vcelku k ničemu :(

Díky, doplním to do zprávičky.

Není to tak, že je to jakási forma betatestu? Tedy že se validace DNSSEC nedostane k běžným uživatelům, ale pokud ji chce někdo se servery Googlu vyzkoušet, má možnost. A až se ověří, že vše funguje a nikde se nic nerozbilo, zapne to Google pro všechny.

Myslím, že by si Google nedovolil to jen tak bez varování zapnout pro všechny uživatele, když je zřejmé, že se tím spoustě uživatelů „rozbije internet“ (protože chodí na web, který má DNSSEC nakonfigurováno špatně, a Google by jim přestal vracet odpovědi). Takhle je šance pro správce serverů DNSSEC si opravit a otestovat si to na serverech Google.

Kéž by tomu tak bylo. Předpokládá se ale, že Google DNSSEC testuje už dlouho, aspoň Geoff Huston na to přišel ve svém měření DNSSECu. Možná ale je tohle další fáze testů. V každém případě tu tiskovku si měli schovat až na chvíli, kdy jim to začne fungovat pořádně.

Tak uz se Google vyjadril a plan je takovy, ze to ted chteji zkouset a pakbto zapnou vsem...

From Ben Laurie:
With my Google hat on.

It was not our intent to mislead anyone over who was protected, but it
turned out to be hard to nail down, and as a result the FAQ ended up
rather technical, as people have observed.

We are updating the FAQ to make it plain that most people are _not_
currently protected, but that this is an initial phase while we ensure
that we will not break everyone. Once that's over, we'll enable it by
default.

Sorry for any confusion!