Vlákno názorů k článku Mobilní operátoři nasazují DNSSEC od x - Hlavni problem je, ze telecum a dalsi tim...

Hlavni problem je, ze telecum a dalsi tim ziskaji uzasny zpusob jak provadet cenzuru a svadet to na dnssec.

Asi jste článek nečetl, protože DNSSEC nemá s cenzurou vůbec nic společného. Tady vůbec nejde o obsah.

Ale má společného s cenzurou. Samotná Telefónica pomocí svých rekurzivních serverů vědomě svádí své zákazníky na zcestí, když jim vrací falešné odpovědi na doménová jména, která jsou podle jedné firmy z Britských ostrovů nevhodná. Proto také veškerá podpora DNSsecu končí na serverech Telefónicy a, což v článku není explicitně zmíněno, aby zákazník mohl využít proklamované podpory DNSsecu poskytovatelem, musí mu bezbřeze důvěřovat. Pokud ale poskytovatel odpovědi falšuje, tak se mu věřit nedá a zákazník si musí podpisy ověřovat sám, což pak ale činí celou službu poskytovatele naprosto zbytečnou.

Samotné nasazení DNSSECu nic. Naroubování PKI do DNS již ano. Z pokusů cpát do DNS veřejné klíče SSH nebo X.509 TLS mi běhá mráz po zádech.

Proč domény v cz. drží prvenství v užití DNSSECu? Protože drtivá většina domén je podepsána regristrátorem. Tudíž platný podpis na záznamu v DNS neříká vůbec nic o správnosti záznamu, pouze o původu zóny. A teď přijde registrant a uloží do DNS klíče ke svým TLS službám s představou, jak jsou teď jeho zákazníci chráněni.

A aby toho nebylo málo, tak přijdou ISP, že budou DNSSEC ověřovat za své zákazníky. Takže webový klient uživatele si ze serveru poskytovatele stáhne HTTPS certifikát a ten bez ptaní použije, protože (jak píšete) uživatel svému poskytovateli věří.

Vadí mi jak, všichni říkají, že Internet bude od teď bezpečnější místo a jak se předhánějí v masáži svých zákazníků, ale ve výsledku bude „bezpečnost“ držet pár registrátorů a pár ISP. Tedy přesně ti, proti kterým současný systém PKI cílí (dráty nejsou bezpečné, ale klient a server se dokáží vzájemně autentizovat).

Nedůvěřuji. U Telefónicy za to primárně mohla nespolehlivost jejich serverů, ale ve výsledku mám vlastní rekurzivní servery. Nasazení validace u ISP přináší poskytovateli další záminku, proč odpověď nevrátit (schová se za neplatný podpis) nebo, jak píšu dříve, ISP si skrze kecy o validaci vycvičí uživatele, že jeho servery poskytují zaručeně pravé údaje, což nakonec nebude vůbec pravda, protože právě poslední článek cesty doménového záznamu bude nechráněn.

Zjevne neumite cist vy nebo mate problem s chapanim textu. Telecum uz ted provadi cenzuru na urovni DNS. Pri zavedeni dnssec vam jednoduse nevrati na nepohodlnou domenu nic a bude tvrdit, ze dnssec.

Co poznate z niceho? Validujici resolver = nevrati vam v pripade spadne podepsane domeny NIC. Tudiz poznate leda prd. Kdyz vam stejne NIC vratim proste protoze se mi chce, jak NIC dnssecu poznate od NIC zavinenho mnou?

Jednoduse nepouzijete, protoze v dalsim kroku, vam v ramci vasi bezpecnosti vas ISP znemozni se dotazovat jinych nez jeho DNS a pro jistotu mu to velmi brzo nekdo posveti zakonem - vcetne prikazu vsechny dotazy logovat.

Zatimco ja tvrdim, ze DSNSEC nema smysl pokud si odpovedi nevaliduje klient a ze naopak zavadi pomerne vysoke riziko zneuziti, tak vy tvrdite (naprosto nepodlozene) opak.

On je totiz zasadni rozdil mezi podepsanim domeny a nasazenim validace na serverech pro klienty. Je to naprosto totez, jako kdyz vam provider rekne, ze si mail neodeslete jinak nez pres jeho smtp - je to preci pro vasi bezpecnost dobre, ne?