Citat:
twiddle: Ako sada RNIDS podnese kandidaturu, do kraja 2010. proces delegacije bi mogao da bude okončan i imali bismo mogućnost da koristimo domene na ćirilici. Pored toga, ICANN/IANA će do kraja godne "potpisati" root zonu, pa bi RNIDS i time (DNSSEC) trebalo da se pozabavi za .rs TLD u dogledno vreme. I još, pošto se opseg IPv4 brojeva ubrzano troši, RNIDS će relativno brzo morati da obezbedi potpunu IPv6 podršku za .rs TLD (i budući nacionalni .IDN TLD).
Malo planiranja, opreza i stednje nije naodmet.
Ako nam taj jedan TLD po drzavi ionako pripada, ne vidim razlog zasto bi se nesto sto nece da se koristi odmah placalo $26,000 (osim ako mislite da je kurs dolara sada povoljan za takvu stvar). A ne mislim da je bas pametno upustiti se u celu IDN pricu bez dobrog prethodnog testiranja.
Sa IDN domenima ce biti dosta zabave u periodu koji nam predstoji. Imajuci u vidu da cirilica i latinica imaju nekoliko homoglifa (slova koja se isto pisu, a razlicito izgovaraju u dva pisma - npr. A, E, M i sl.), takva situacija je dusu dala za phishing, jer takve kombinacije nude siroke mogucnosti zloupotrebe. Pogledajte:
http://en.wikipedia.org/wiki/Homograph_spoofing_attack
Zamislite, recimo, http://
www.pAypAl.rs/ (velika slova crvenom bojom su cirilicna). Cak i da misem polako predjes preko takvog URL-a u nekim buducim verzijama popularnih browsera videces link koji je identican i skoro niko nece uspeti da provali razliku. Samim tim phisheri vise nece morati da prave idiotske kombinacije poput
www.paypal.rs.example.com koje ostro oko ipak jos uvek moze da primeti. :-)
Ali prica se ne zavrsava samo na poznatim domenima. Zamislite ovakvu situaciju: Pedja registruje domen
pedja-komerc.rs, kao i
peđa-komerc.rs (cirilicom, za one koji ovo ne vide kako valja), jer ce buduca "pravila" RNIDS ovo verovatno dopustati. A onda neki mamlaz kupi
pEdja-komerc.rs (E cirilicom, ostalo latinica) i krene da mu kvari posao samo tako. A RNIDS ce, naravno, da pErE rEWke, u stilu: Pedja, ako ti se ne svidja, pokreni arbitrazu. :-) U svakom slucaju, mnooogo pazljivog inzenjerskog posla oko testiranja, detaljno cesljanje propisa i pravilnika, pa tek onda implementacija!
Sto se podrske za IPv6 tice, .rs TLD ima vec tri DNS servera koji imaju AAAA zapise, podrzavaju IPv6 transport i odgovaraju na IPv6 upite:
Code:
ns-rs.ripe.net. 2712 IN A 193.0.12.184
ns-rs.ripe.net. 2712 IN AAAA 2001:610:240:0:53:cc:12:184
rs-ns.anycast.pch.net. 86392 IN A 204.61.216.32
rs-ns.anycast.pch.net. 86392 IN AAAA 2001:500:14:6032:ad::1
ns-ext.isc.org. 36590 IN A 204.152.184.64
ns-ext.isc.org. 2993 IN AAAA 2001:4f8:0:2::13
sto je sasvim dovoljno za sada. Nije obavezno da svi serveri podrzavaju IPv6. Cak ni svi root serveri ne podrzavaju IPv6 (B, C, D, E i I.root-servers.net, recimo, ne podrzavaju IPv6). IPv6 korisnici ce, posto dobiju glue record set za rs. od root servera, kontaktirati servere koji podrzavaju IPv6 transport i to je to. Prema tome, taj posao je RNIDS vec obavio. :-) Naravno, ostaje da se doda opcija da postojeci regsitranti .rs domena dodaju AAAA zapise za svoje servere (ako koriste servere iz sopstvenog domena), ali takvih ce biti prilicno malo. Takodje, jednog dana bilo bi lepo ukljuciti dual-stack na ns1.nic.rs, ali pazljivo, jer dual-stack znaci i brigu oko IPv6 firewall-a i mnogih drugih stvari. Ne treba trcati s tim, bolje se usredsrediti na ono sto je mnogo bitnije. A to je ...
... DNSSEC!
DNSSEC je takodje koska, ali daleko hitnija od IDN-a. Samo u toku ove i prosle godine se pojavilo nekoliko DNS exploita (vidi:
http://www.kb.cert.org/vuls/id/800113) i gotovo u svakom slucaju je generalni zakljucak bio da je DNSSEC jedino stabilno i trajno resenje. Naravno, potreban je softver za automatsko generisanje kljuceva, opet puno testiranja, obuka ljudi itd.