Blog Stéphane Bortzmeyer : RFC 7535 : AS112 Redirection using DNAME

Stéphane Bortzmeyer CC BY-SA 15/05/2015

Le système #AS112, décrit dans ce nouveau #RFC, est à la fois un utile
composant du #DNS, améliorant les performances et réduisant la charge
du réseau, un banc d’essai pour des nouvelles techniques comme
l’anycast, et une expérimentation sociale réussie, celle d’un service
100 % acentré. Dans la meilleure tradition Internet, l’AS112 a été
créé par le peuple, pour le peuple, sans débats de « gouvernance » et
sans innombrables réunions entre ministres.

L’AS 112 en général :
▻http://www.bortzmeyer.org/7534.html

Le tout nouveau mécanisme de délégation, utilisé par « le nouvel AS
112 », avec DNAME, dont ce sera la première grande utilisation
massive.
▻http://www.bortzmeyer.org/7535.html

Stéphane Bortzmeyer CC BY-SA

claudex @claudex CC BY-SA 15/05/2015

Signer les zones avec DNSSEC semble franchement excessif, et difficile à réaliser de manière sûre puisqu’il faudrait distribuer la clé privée à tous les opérateurs de l’AS112.
Est-ce qu’on ne pourrait pas imaginer un serveur maître qui signerait en DNSSEC et les autres qui ne seraient que serveurs secondaires et viendraient chercher leurs informations de zone comme n’importe quel serveur secondaire ?
Bien sûr, ça ne marcherait pour tous les serveurs existant mais ils pourraient se mettre à jour là dessus.
Le problème que je vois, c’est de laisser les transferts en libre accès, ce qui peut mener un à (D)DOS.

claudex @claudex CC BY-SA
Stéphane Bortzmeyer @stephane CC BY-SA 16/05/2015

@claudex L’un des principes fondateurs de l’AS112 est d’être complètement acentré, sans Dieu, ni maître. Avoir un serveur maître impliquerait qu’un opérateur ait un rôle particulier, une responsabilité plus forte...
En outre, le contenu des zones n’est pas forcément le même (dans empty.as112.arpa, le SOA indique l’opérateur)

Stéphane Bortzmeyer @stephane CC BY-SA

Écrire un commentaire