[GTER] Registro.BR DNS Slave - Sugestão

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Wed Sep 19 13:19:21 -03 2012


Em 19/09/2012, às 12:47, Rubens Kuhl escreveu:

>> Conheço diversas empresas que gostariam de usar o Registro.BR como autoridade mas não querem ter que forçar seus clientes (muitas vezes finais, ou simplesmente querem fazer toda a gestão do negócio Internet - Hosting tipicamente) a configurar o DNS no Registro. Alguns tem seus próprios painéis, alguns fazem toda a gerência, alguns tem particularidades que prefiro nem saber.
> 
> Bastaria que elas pedissem que o usuário lhes transferisse a
> administração do domínio via EPP. Assim, o próprio provedor poderia
> alterar quais os servidores DNS atendem um domínio.

Claro, mas ainda que fosse manual via interface end-user do registro, a transferência de quem atende que domínio por qualquer meio seria requisito inclusive pra ativar como slave.

>> A maioria deles poderiam no entanto atualizar seu próprio servidor DNS master mas usá-lo como Hidden Master, permitindo transferência de zona pro Registro.BR e anunciando apenas o Registro.BR como autoridade para seus domínios.
> 
> Se eles tem conhecimento suficiente para operar um hidden-master,
> também conseguem operar serviços públicos... ;-)

Hahaha acho que não. Você está superestimando o usuário final médio de empresas de hospedagem. Dizer pra eles "clique aqui pra ativar slave" e "coloque esses numerozinhos no campo IP Master" e "depois salve" é diferente de instruir o cara a criar registros TXT, SPF, etc, etc na interface pública final, e pra isso as empresas de hospedagem aplicam seus default, criam wizards e outras facilidades que permitem minha avó ativar um domínio ;-)

>> Acho que isso pode ser de interesse de muitos outros, e ampliar a adoção dos servidores DNS do Registro.
> 
> Esse nunca fui um objetivo... uma maior facilidade de uso de serviços
> gratuitos e uma maior adoção de DNSSEC, sim.

Ai ok, esse é o ponto que eu tinha dúvida. Até onde o interesse em realmente parkear o DNS alheio como parte integrante do serviço de registro pago pelo usuário.

Apoiar a adoção do DNSSEC aconteceria até de forma mais interessante ao meu ver, forçando pros DPNs desejados (ainda q todos sob .br) que o master tenha DNSSEC corretamente configurado antes de aceitar / conseguir fazer uso dos servidores do Registro.BR como slave (sem slave se o master não tem DNSSEC).

Isso força o registrar e o sysadmin final a aprender e se atualizar das práticas DNSSEC que por mais que sejam simples, sei la porque tem os que preferem evitar. Em cursos aqui na empresa todos aprendem a configurar e testar DNSSEC, debugar, conferir com dig, forçar teste de validação recursiva. Mas quando a gente vê, a menor parte saiu daqui e colocou DNSSEC em domínios sob seu controle. Mesmo em novos.

"Quer usar o Registro.Br como DNS slave? Faça DNSSEC no master corretamente!" me parece tão bom, ou melhor, quanto "deixa que o Registro.BR faz tudo pra vc ter um DNSSEC funcional, transparente..." - o usuário não aprendeu, o sysadmin delegou; existe uma "dependência" de quem adota DNSSEC assim. "me preocupar com revogação, atualização de chaves? ahh o Registro.BR se preocupa por mim. Vou usa-los".

>> Não sei até que ponto o Registro.BR gostaria de carregar nas costas o DNS dos domínios nacionais ou se o plano é apenas um apoio a usuários finais; mas essa estratégia seria possível filtrar (por RRs, por DNSSEC imperativo quando cabível) teria como vantagem a mudança mínima nas empresas que querem usar o DNS do Registro, e ajudaria na "monitoração" de masters mal configurados, registros DNSSEC errados ou chaves erradas/desatualizadas;
> 
> O recente episódio do Go Daddy indica que a concentração de
> name-servers cria potencial para falhas com maior impacto... apesar de
> haverem empresas rodando seus próprios DNS, a sensação que tenho é que
> a adoção de DNSSEC pelos provedores de hospedagem teria um resultado
> muito maior. É infelizmente esse ponto que faz o Brasil estar com
> adoção de DNSSEC menor do que alguns outros países, mesmo sendo um dos
> 5 maiores:
> https://xs.powerdns.com/dnssec-nl-graph/

A descentralização teria que ser conduzida pelo Registro.BR claro. No site diz que os servidores estão no BR e exterior. Acredito que da pra ter um ao menos desses slaves "nation-wide" no ISC e no WIDE em um acordo de cooperação razoavelmente fácil de conduzir (não sei a questão de custos, pois só conheço a relação do ISC e WIDE com FreeBSD Project mas não com o Registro.BR ou reginais equivalentes);

O episódio do Go Daddy serviu entre outras coisas pra eles venderem também a idéia de um DNS mais estável, mais seguro e mais disponível quando informaram que os clientes "Premium" com suas redundancias contadas em dezenas de servidores mundo afora, não ficaram fora do ar como os clientes Standard ficaram hehehe - e saíram ofertando a venda do serviço DNS Premium pra quem tem negócio de missão crítica na Internet.

Bom, eu também não conheço quem gostaria de ter que me preocupar com o DNS de boa parte do país, em redundancia, disponibilidade, operação, sem um complemento financeiro. Não sei como pensa quem está no Registro.BR mas tecnicamente vejo mais vantagens em colocar os DNS slave no Registro.Br e forçar "boas práticas" no master (de DNSSEC a SOA adequado, existência mínima de registros como SPF, entre outras coisas que não são imperativas na Internet mas o Registro pode pornar práticas imperativas para uso de seus recursos - uma política apenas que quem não quiser cumprir basta não usar como slave), do que simplesmente aplicar as boas práticas todas e no final, ter a mesma carga em potencial. Enfim, algo mais "vamos fazer juntos que eu te apoio" do que "deixa que eu faço pra você". Ajuda na educação técnica para aplicação de boas práticas :-)

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list