Jak już kiedyś pisałem, DNSSEC cierpi na klasyczną chorobę monumentalizmu i złego planowania. Jest to rozwiązanie stosunkowo prostego problemu, które powstaje od kilkunastu lat i powstać nijak nie może. Pisałem też wtedy,dlaczego.

Duży amerykański operator kablowy Comcast poinformował o testowych wdrożeniu DNSSEC na swoich serwerach. Usługa ma być dostępna domyślnie włączona dla wszystkich klientów pod koniec roku.

Równocześnie jednak tylko jedna piąta z amerykańskich rządowych serwerów włączyło DNS pomimo terminu wyznaczonego na 31 grudnia ubiegłego roku. Z trzynastu światowych serwerów głównych DNSSEC mają włączone tylko dwa (TheRegister).

Z kolei inny duży operator OpenDNS, zniecierpliwiony przekombinowaną technologią DNSSEC, uruchomił własne rozwiązanie pod nazwą DNSCurve. System jest o wiele prostszy i oparty o kryptografię krzywych eliptycznych (draft-dempsky-dnscurve).

Że nowość? No cóż, przecież NSEC3 wcale nie jest wiele dojrzalszy. Warto też przeczytać, co o DNSSEC pisał Andrzej Bartosiewicz z NASK w 2009 roku i co pisał miesiąc temu.