Barrapunto

Más allá de la discusión sobre el monopolio del negocio de los buscadores aquí hay detalles que atentan contra la estabilidad de la red en general. Parece que VeriSign no sabe que Internet no es solo la web, y que el DNS no se utiliza únicamente para acceder a sitios web. El DNS es una base de datos que se utiliza para muchos fines, no solo buscar la dirección de un sitio web. Lo que ha hecho es registrar todos y cada uno de los miles de millones de dominios posibles. Ahora todos los sominios existen, todos tienen un registro A. Consecuencias: - E-mail, como todo dominio se resuelve ya nuestro servidor de e-mail no nos responde inmediatamente que el dominio no existe, en su lugar intenta enviar el mensaje al servidor que funciona en 64.94.110.11 En este momento Verisign tiene ahí un servidor que se presenta como "220 snubby3-wceast Snubby Mail Rejector Daemon v1.3 ready", lo que hace este servidor es rechazar todos los mensajes. Esto incrementa el tráfico en la red pues cada vez que un usuario envía un mensaje a un dominio que no existe nuestro servidor establece una conexión TCP con 64.94.110.11, aún cuando este rechaza al mensaje de correo electrónico se intercambian al menos 15 segmentos TCP en esta conexión. Eso es ancho de banda de nuestras conexiones, el cuello de botella va a ir a parar a Verisign, pero también es un problema para nosotros. Ahora, permítanme pensar mal acerca de verisign... Desde este servidor verisign puede ahora conocer direcciones de e-mail legítimas, ya que en el envelope de SMTP figura la dirección de origen. Que tal si Verisign decide aceptar todos los e-mails dirigidos a dominios inexistentes y después nos envía un e-mail con publicidades? que atentado a la privacidad sería!! Díganme que no lo está hacisndo!! pero es solo un pasito más, y nos la puede meter de a poquito!! Además, ¿que pasa con el software anti-spam que chequea si un dominio existe? Todos los .COM ahora existen...!!! - Aplicaciones de red en general que usan el DNS Cada vez que hagamos un ping, un ftp, irc, o cualquier cosa si el dominio no existe en vez de recibir inmediatamente una notificación de host inexistente tendriamos un error de red como conexión rechazada o un timeout. Esto nuevamente compromete la estabilidad de la red en general al generar más tráfico innecesario, y a los usuarios y administradores no nos permite diagnosticar correctamente los problemas. - Web: No voy a explayarme mucho en esta porque es la más popular y no hay mucho más que decir que lo que se haya dicho. Tenemos que hacer algo, no creo que la solución sea parchear el bind ni tocar los servidores de e-mail, ni filtrar esa dirección en nuestros routers. La solución es que Verisign deje de hacer esto!

Estas seguro de eso?, no habria espacio suficiente para guardar todos esos registros en ningun servidor/es de nombres. Si no existe un registro A por cada dominio erroneo y redirigen entonces estan violando las RFCs, M$ ya sabe mucho sobre esto.

Si, es así, pero los registros no se ponen literalmente sino que se "sintetizan" a través de wilcard records. Es poner un * en una zona DNS. Eso es lo que hizo verisign. Los wilcard records fueron desde un inicio parte del estándar de DNS y su uso no viola a la especificación original.
Pero la única práctica útil que no compromete la estabilidad de la red hoy por hoy es usar wilcard records SOLO para registros MX.

Lo que está haciendo Verisign es utilizar wilcard records con registros A. Esto no viola a las RFC de DNS pero si a lo que se conoce como "Current best practices"

Podés leer los comentarios de IAB [iab.org] al respecto.