Názory k článku NSEC3 – DNSSEC, který nic nevyzradí
-
Volba mezi NSEC vs. NSEC3 je možná pro každou zónu, tudíž jestli pro vlastní zónu (doménu) chcete použít NSEC3, tak vám v tom nic v zásadě nebrání.
Resp. trochu vám v tom brání ona mizivá podpora na straně validujících resolverů - unbound to umí, ale bind bude umět NSEC3 teprve v 9.6 a bude nějakou dost delší dobu trvat než dojde k samotnému nasazení této verze (když teprve teď je v betě). Ale to se časem spraví. -
Leinad (neregistrovaný)Subjektivně si myslím, že můj poskytovatel má právo si na svém DNS serveru cacheovat neměnící se záznamy. Nerad čekám, nerad DoSuji ve spolupráci s celým světem nějakou centrálu. Pokud by mi zvýšení věrohodnosti DNS mělo zvýšit bezpečnost, tak dobře. Ale v oblasti, kde nevěřím DNS obvykle nevěřím ani IP směrování. K čemu mi je správná IP adresa mé banky, když mě seřízený router přepojí jinam? Přistupuji k tomu takto: někam se připojím, není garantováno kam. Správnost si ověřím na vyšší vrstvě(třeba https).(BFU: bude to zase otravovat s odklikáváním certifikátů? Ukáže to fajfku(vždycky) nebo křížek(průšvih, nepsat hesla, volat o pomoc) nebo nic(u banky taky průšvih).)
-
Bobrnautus (neregistrovaný)dnscurve? Cpát do názvu dns serveru opravdu dlouhý klíč mi nepříjde příliš elegantní, nehledě na to, že jsou zde problémy s patenty okolo použitého šifrování. Navíc pokud se Bernstein bude o ten svůj výtvor bude starat stejně, jako např. o djbdns (kolik let už na něj nebylo sáhnuto?), tak zlaté DNSSEC. Ale na druhou stranu když si to chce někdo nasadit, proč ne? Já si ale raději vyberu dnssec.
ČLÁNKY DO MAILU