[img]http/m.onet.pl/_m/7fc52bac4bf4c23ea37c8ff2421029d2,14,1.jpg[/img]


5 maja część użytkowników internetu może mieć kłopoty z połączeniem do Sieci – wtedy to dojdzie do zamiany protokołu DNS na bardziej bezpieczny.

Podczas gdy większość użytkowników przejdzie płynnie przez proces wymiany protokołu na DNSSEC, problemy mogą napotkać Ci ze słabo skonfigurowanymi firewallami lub korzystający z niebudzącej zaufania firmy ISP.

DNSSEC dodaje do “zwykłych” zapytań DNS cyfrowy podpis, co ma zmniejszyć ryzyko stania się ofiarą ataku typu “man-in-the-middle”.

Standard jest obecnie “rozsyłany” do głównych serwerów DNS. W maju, gdy wszystkich 13 root-serwerów będzie pracować w nowym standardzie, każdy, kto nie będzie spełniać wymagań nowego systemu natychmiast to zauważy – przestaną mu się otwierać strony internetowe, będzie miał także kłopoty z wysyłaniem poczty elektronicznej.

Dlaczego? “Normalny” ruch DNS-owy wykorzystuje protokół UDP, gdyż ten jest szybszy i mniej zasobożerny od TCP. Zwyczajowe pakiety DNS UDP są niewielkie – nie przekraczają 512 bajtów.

Z tego powodu część sprzętu sieciowego jest skonfigurowana w taki sposób, aby odrzucać pakiety UDB o rozmiarze przekraczającym 512 bajtów (podejrzewa się, że pakiet jest złośliwy, lub popsuty). Z kolei podpisane pakiety DNSSEC są nieco dłuższe niż 512 bajtów – pamiętajmy, że od 5 maja root serwery DNS będą odpowiadać wyłącznie na podpisane pakiety DNSSEC.

Keith Mitchell z Internet Systems Consortium obawia się, że najwięcej kłopotów z tego powodu może dotknąć wielkich korporacji. „Korporacje posiadają sporo firewalli i innych urządzeń sieciowych” – tłumaczy.