DNSSEC with root and TLDs
สวัสดีค่ะ
เราลองมาดูแนวโน้มการใช้งาน DNSSEC กันนะคะ
เนื่องจากการใช้ DNSSEC มีผลกระทบในหลายทาง ทั้งในเรื่องเทคนิค เรื่องเวลาที่ใช้ในการ sign zone และขนาดของ zone ที่เพิ่มขึ้น ทำให้การใช้งาน DNSSEC ยังไม่แพร่หลายในปัจจุบัน ลองนึกภาพว่า TLD ที่มีขนาดใหญ่ๆ เช่น .com ที่มีจำนวนโดเมนมากกว่า 75 ล้านชื่อ การ sign zone จะใช้เวลามากแค่ไหน และกว่าจะมีการ transfer zone ใหม่ไปยัง NS ก็ใช้เวลามากขึ้น เนื่องจากขนาดไฟล์ที่ใหญ่ขึ้นกว่า 10 เท่า การ sign zone จึงน่าจะต้องมีการกำหนดเป็นระยะเวลา ทำให้การเพิ่มโดเมนใหม่หรือupdate NS ของโดเมนเก่า จะต้องรอการ sign zone ในรอบถัดไปจึงจะปรากฏใน zone
ทั้งนี้ได้มีการเริ่มใช้งาน DNSSEC โดย ccTLDs บางราย เช่น .se เป็น ccTLD รายแรก ที่มีการ sign zone ตั้งแต่ปี 2005 .ru .br .bg ก็ได้มีการใช้ DNSSEC แล้ว .cz จะเริ่มใช้ DNSSEC เดือนกันยายนปีนี้ รวมถึงอีกหลาย ccTLDs ที่กำลังทดลองและวางแผนเริ่มใช้งาน DNSSEC ในอนาคต ซึ่งรวมถึง .th ด้วย
ในส่วนของ gTLDs การประชุม ICANN ที่ปารีส เดือนมิถุนายนที่ผ่านมา ICANN ได้อนุมัติที่ Pubic Interest Registry (PIR) .org registry ได้ขอที่จะใช้ DNSSEC และทำการ sign .org zone โดย PIR มีแผนที่จะทำการ sign ภายในปีนี้ ถึงแม้ว่า root จะยังไม่มีการ sign ก็ตาม โดยในช่วงที่ root ยังไม่มีการ sign นั้น ทาง PIR จะนำเอา public key ไปฝากไว้ที่ IANA (หน่วยงานของ ICANN ที่ดูแล root operation) เพื่อให้ผู้ที่ต้องการใช้ public key มีข้อมูลไปใช้ในการตรวจเช็คความถูกต้องของ .org zone ที่ได้รับการ sign
นับได้ว่า .org เป็น gTLD รายแรกที่จะเริ่มใช้ DNSSEC แต่น่าจะมีหลาย gTLD ที่กำลังทดสอบการทำงานของ DNSSEC และคงจะทะยอยเริ่มใช้กันมากขึ้นในปีหน้า
ในส่วนของ root ICANN ได้เตรียมการเพื่อ sign root zone โดยได้ประกาศความพร้อมใช้ DNSSEC เพื่อ sign root zone ภายในปลายปี 2008 นี้ โดยได้ประกาศเมื่อวันที่ 24 กรกฏาคม ที่ผ่านมาถึงเรื่องนี้ ท่านที่สนใจสามารถอ่านเพิ่มเติมได้จาก http://www.icann.org/en/announcements/announcement-24jul08-en.htm ท่ามกลางคำถามที่ว่า ICANN มีสิทธิ์ในการ sign root หรือไม่ เนื่องจากในปัจจุบันสิทธิ์ในการเปลี่ยนแปลง root zone นั่นขึ้นอยู่กับ Department of Commerce (DOC) ของประเทศสหรัฐอเมริกาแต่เพียงผู้เดียว
หลังจากที่ ICANN ออกประกาศได้ไม่ถึงอาทิตย์ DOC ได้ประกาศจุดยืนเมื่อวันที่ 30 กรกฏาคมนี้ ว่า DOC ไม่เคยคุยและไม่มีแผนที่จะคุยกับใครในเรื่องการยกสิทธิ์เปลี่ยนแปลง root zone ให้ ICANN ถึงแม้ว่า DOC ได้ดำเนินการและกำลังประเมินการทำงานของ ICANN เพื่อมอบหน้าที่ในด้านการบริหารและปฏิบัติการอื่นๆ ให้กับ ICANN ก็ตาม จากประกาศดังกล่าวทำให้คิดได้ว่า DOC อาจจะไม่เคยคิดที่จะยกสิทธิ์ดังกล่าวให้ ICANN เลย ซึ่งเป็นสิ่งที่สวนทางกับความต้องการของประชากรอินเทอร์เน็ตทั่วไป เมื่อ DOC ออกประกาศดังกล่าวแล้ว อนาคตของ DNSSEC กับการ sign root zone จะเป็นไปในทิศทางใด เราคงต้องรอดูกันต่อไป
รายละเอียดเกี่ยวกับประกาศของ DOC สามารถอ่านเพิ่มเติมได้ที่ http://www.ntia.doc.gov/comments/2008/ICANN_080730.html
เพ็ญศรี
ขออนุญาต share ประสบการณ์ตรงครับ
เพิ่งพบเมื่อสัปดาห์ที่แล้วว่า name server ที่ดูแล resolve โดเมนเนม .se ได้บ้างไม่ได้บ้าง ต้องแก้ไขด้วยการ recompile bind9 ใหม่โดย include openssl ด้วย ปัญหาจึงหายไป
ขอบคุณค่ะคุณ snakk
สำหรับ root นั้น ทาง ICANN และ VeriSign ได้ส่งข้อเสนอไปที่ Department of Commerce (DOC)
สำหรับการให้หน่วยงานของตนเป็นผู้ sign root zone แล้ว แต่ทาง DOC ยังไม่ได้ตัดสินใจในเรื่องนี้
อย่างไรก็ตาม มีแนวโน้มว่าจะมีการ sign root zone ภายในปี 2009 นี้ค่ะ