เมื่อวันที่ 8 มีนาคมที่ผ่านมา คนจำนวนหนึ่งพบว่าไม่สามารถเข้าเว็บใดๆ ที่เป็นโดเมนของประเทศฟิจิ หรือ TLD ว่า .fj ได้ ทาง Cloudflare รายงานและพบว่าเกิดจากการเปลี่ยนกุญแจเซ็น DNSSEC ผิดพลาด จนทำให้ resolver หลายตัวที่ตรวจสอบ DNSSEC ก่อนไม่สามารถยืนยันความถูกต้องได้

DNSSEC เป็นกระบวนการยืนยันว่า ค่า DNS ที่ตอบจากเซิร์ฟเวอร์ DNS นั้นถูกต้องจริง โดยผู้ที่ถือโดเมนต้องนำค่าแฮชของกุญแจสาธารณะไปวางไว้ผู้ให้บริการระดับสูงขึ้นไป การตรวจสอบโดเมนจึงสามารถตรวจสอบเป็นชั้นๆ ตั้งแต่ root DNS ลงมายัง TLD ต่างๆ (เช่น .fj ของฟิจิ หรือ .th ของไทย) และจบด้วยการตรวจสอบโดเมนในที่สุด

ที่ประชุมบอร์ด ICANN ยืนยันการเปลี่ยนกุญแจสำหรับรับรองกุญแจ (key signing key - KSK) ในวันที่ 11 ตุลาคมนี้ นับเป็นการเปลี่ยนกุญแจครั้งแรกของโครงสร้าง DNSSEC นับแต่เริ่มใช้งานมาตั้งแต่ปี 2010

กำหนดการเปลี่ยน KSK เดิมกำหนดไว้วันที่ 17 กรกฎาคม 2017 แต่ ICANN พบว่ามีเซิร์ฟเวอร์ DNS จำนวนหนึ่งคอนฟิกไม่ถูกต้อง, ผู้ดูแลระบบไม่ยอมเปลี่ยนกุญแจ, หรือซอฟต์แวร์ไม่รองรับการอัพเดตกุญแจอัตโนมัติ ทำให้หากเปลี่ยนกุญแจไป เซิร์ฟเวอร์เหล่านี้จะใช้งานไม่ได้ อย่างไรก็ดี เซิร์ฟเวอร์ที่ได้รับผลกระทบต้องเปิดใช้งาน DNSSEC เท่านั้น หากใช้ DNS ปกติก็จะไม่มีผลอะไร

ผู้อ่าน Blognone คงรู้จักหรือเคยใช้บริการ Google Public DNS (8.8.8.8 และ 8.8.4.4) กันมาบ้าง

ล่าสุดกูเกิลประกาศว่าบริการ Public DNS ของตัวเองรองรับการตรวจสอบและยืนยันตัวตนของเซิร์ฟเวอร์ DNS หรือที่รู้จักกันในชื่อ DNSSEC validation แล้ว

DNSSEC เป็นส่วนขยายด้านความปลอดภัยของโพรโทคอล DNS เพื่อช่วยแก้ปัญหาการปลอมเซิร์ฟเวอร์ DNS ต้นทาง เพราะเครื่องลูกข่ายที่ขอข้อมูล DNS จะมีวิธีตรวจสอบว่าเซิร์ฟเวอร์ (ในที่นี้คือ Google Public DNS) เป็นเครื่องจริงหรือไม่ และโดนแอบหยอดข้อมูลระหว่างทาง (DNS cache poisoning) ระหว่างทางหรือไม่

ปรากฎการณ์เว็บทั่วโลกร่วมกันต่อต้านร่างกฏหมายต่อต้าน Stop Online Piracy Act ตลอดวันนี้ เว็บที่เข้าร่วม เช่น Wikipedia, Scribd, Wired หรือ EFF บทความนี้จะแนะนำว่าทำไมหน่วยงานจำนวนมากในโลกจึงต่อต้านกฏหมายฉบับนี้ และเมืองไทยเองเพิกเฉยต่อกระบวนการเหล่านี้มาอย่างไรกันบ้าง เพื่อบางทีที่เรามองเหตุการณ์ในต่างประเทศแล้วเราอาจจะมองเห็นภาพที่สังคมอินเทอร์เน็ตต่อการเซ็นเซอร์

บริษัท VeriSign ประกาศว่าวันนี้บริษัทจะเริ่มรองรับ DNSSEC ในโซนของ .net แล้วนับเป็น TLD ที่ใหญ่ที่สุดนับแต่มีการเริ่มใช้ DNSSEC มา โดยก่อนหน้านี้ TLD ที่ใหญ่ที่สุดที่รองรับ DNSSEC คือ .org

ตามกำหนดการในปีหน้าทั้ง .com และ .edu น่าจะรองรับ DNSSEC ตามมาภายในปีหน้า ส่วน DNS ของแต่ละประเทศนั้นต้องให้ผู้ดูแล TLD เป็นผู้ฝากคีย์เพื่อเริ่มให้บริการ

มาตรฐาน DNSSEC (rfc2535) เป็นมาตรฐานที่มาขยายมาตรฐาน DNS เพื่อให้ผู้ร้องขอข้อมูล DNS สามารถตรวจสอบได้ว่าข้อมูลที่ได้รับมานั้นถูกต้องหรือไม่ ด้วยปัญหาหลายประการ โดยเฉพาะปัญหาทำงานบนเครือข่ายขนาดใหญ่ของมาตรฐานรุ่นแรก ทำให้ DNSSEC ถูกละเลยเรื่อยมาจนวันนี้ .org ก็เป็นโดเมนชั้นต้น (TLD - Top Level Domain) กลุ่มแรกที่จะใช้งาน DNSSEC เต็มรูปแบบ

กระบวนการนี้เป็นขั้นแรกของการปรับปรุงให้อินเทอร์เน็ตปลอดภัยขึ้น โดยในเดือนหน้า root server ทั้งหมดจะเริ่มมีการลงลายเซ็นอิเล็กทรอนิกส์ เพื่อตรวจสอบข้อมูลที่ส่งผ่านระหว่างกัน