DNSSEC Validation — RuNET стал еще чуть более защищенным
Примерно в середине сентября 2021 года на сети Мегафон заработала DNSSec валидация. Такой вывод можно сделать из изменений в графике на ресурсе https://stats.labs.apnic.net/dnssec
На сети МТС DNSSec валидация была включена в начале апреля 2021. График можно посмотреть вот по этой ссылке.
Статистический ресурс APNIC в TOP10 по количеству сэмплов из России показывает AS12389 (Ростелеком), AS16345 / AS8402 (Билайн) и AS12958 (Теле2). В указанных сетях пока все плохо и там где показатель порядка 30% скорее всего означает, что валидация включена не на операторских DNS серверах, а у клиентов этих операторов.
Если же рассматривать карту, то Россия выглядит не плохо и на текущий момент валидация составляет порядка 37,5% и мы по этому показателю не сильно уступаем США (39,68%). Это означает, что 37% DNS серверов России уже умеют проверять валидность DNS-записей в подписанных зонах. Однако, в этой бочке меда есть и ложка дегтя и она в том, что по тем данным, которые мне удалось найти, подписанных доменов в зоне RU порядка 5300, а это примерно 0,1% от общего количества, при том, что в зоне COM этот показатель порядка 2,6%, что на мой взгляд, тоже не много с учетом того, что технология уже довольно старая (RFC от 2005 года).
В заключении, хотелось бы пожелать, чтобы и остальные операторы вступили в «клуб», а владельцы доменов с учетом того, что уже не мало DNS-серверов в RuNET умеют проверять DNS-записи по технологии DNSSec, задумались о том, чтобы подписать свои зоны (в первую очередь это относится к банкам и к таким доменам, как gosuslugi.ru, mos.ru, nalog.ru и др.).
Ссылки по теме:
Практическое применение DNSSEC
DNSSEC Statistics
DNSSEC and DANE Deployment Statistics