[uylug-varios] DNSSEC .UY
Arturo Servin
arturo.servin at gmail.com
Wed May 16 06:19:06 PDT 2012
Secundo a Carlos y a Eduardo. Implementar DNSSEC a cualquier nivel no es trivial si lo quieres hacer bien protegiendo tus llaves y asegurando que firmas tus zonas. Hay varios ejemplos de ccTLDs y organizaciones que les ha fallado (y no por falta de experiencia).
De los RFCs creo que son:
4033, 4034 y 4035 (tenia un sticker donde venian pero se daño hace tiempo) Como dices, no es un "nuevo protocolo" sino extensiones al actual.
De NSEC3 no estoy seguro si resuelve el zone-enumeration por completo y si ya esta implementado en full. Al menos supongo que BIND y NSD lo soportan.
Además del factor experiencia esta el factor costo. Quizá como organización puedas tener tus llaves en un HW convencional, pero a nivel TLD implica tener HSMs, los cuales no son nada baratos.
Finalmente, una pregunta. Aunque el .uy se firme, creo que para que el .com.uy funcione en DNSSEC lo debería firmar ANTEL, no?
Slds
as
On 16 May 2012, at 07:17, Eduardo Trápani wrote:
>
>> Ahora, tambien es cierto de que implementar DNSSEC a nivel de un TLD es
>> un proyecto que no es trivial, requiere de un monton de esfuerzo y hay
>> una cantidad importante de finezas con las que hay que tener mucho, pero
>> mucho cuidado. Fijense cuantos ccTLDs de la region tienen implementado
>> DNSSEC. Hasta donde recuerdo, 4 o 5 nomas.
>>
>
> Gracias, al fin alguien que sabe de esto.
>
> Una pregunta más técnica, ¿cuál es el DNSSEC que se está implementando?
> Es decir, ¿cuáles son los RFC principales? Porque veo en Wikipedia que
> hay extensiones y modificaciones. En particular me encantaría saber si
> "Zone enumeration issue, controversy, and NSEC3" todavía es un problema.
>
> Eduardo.
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
More information about the Uylug-varios
mailing list