Názory k článku
NSEC3 – DNSSEC, který nic nevyzradí
JK (neregistrovaný)
13. 11. 2008 11:33
Nový
NSEC vs NSEC3 v CZ
celé vlákno
Děkuji za zajímavý článek. Dá se NSEC3 používat i v rámci českých domén (to, co nedávno zavedlo cz.nic), nebo zde je použitelný pouze NSEC? Mám v tom trochu guláš. Děkuji za odpoveď.
aura:80
13. 11. 2008 12:25
Nový
Re: NSEC vs NSEC3 v CZ
celé vlákno
Volba mezi NSEC vs. NSEC3 je možná pro každou zónu, tudíž jestli pro vlastní zónu (doménu) chcete použít NSEC3, tak vám v tom nic v zásadě nebrání.
Resp. trochu vám v tom brání ona mizivá podpora na straně validujících resolverů - unbound to umí, ale bind bude umět NSEC3 teprve v 9.6 a bude nějakou dost delší dobu trvat než dojde k samotnému nasazení této verze (když teprve teď je v betě). Ale to se časem spraví.
Resp. trochu vám v tom brání ona mizivá podpora na straně validujících resolverů - unbound to umí, ale bind bude umět NSEC3 teprve v 9.6 a bude nějakou dost delší dobu trvat než dojde k samotnému nasazení této verze (když teprve teď je v betě). Ale to se časem spraví.
Leinad (neregistrovaný)
15. 11. 2008 23:23
Nový
Proč SEC?
celé vlákno
Subjektivně si myslím, že můj poskytovatel má právo si na svém DNS serveru cacheovat neměnící se záznamy. Nerad čekám, nerad DoSuji ve spolupráci s celým světem nějakou centrálu.
Pokud by mi zvýšení věrohodnosti DNS mělo zvýšit bezpečnost, tak dobře. Ale v oblasti, kde nevěřím DNS obvykle nevěřím ani IP směrování. K čemu mi je správná IP adresa mé banky, když mě seřízený router přepojí jinam?
Přistupuji k tomu takto: někam se připojím, není garantováno kam. Správnost si ověřím na vyšší vrstvě(třeba https).(BFU: bude to zase otravovat s odklikáváním certifikátů? Ukáže to fajfku(vždycky) nebo křížek(průšvih, nepsat hesla, volat o pomoc) nebo nic(u banky taky průšvih).)
Honza (neregistrovaný)
16. 11. 2008 13:01
Nový
DNSCURVE
celé vlákno
DNSSEC je obecne neuveritelna splacanina.
Me se osobne se mnohem vice libi dnscurve.
H.
Me se osobne se mnohem vice libi dnscurve.
H.
Bobrnautus (neregistrovaný)
19. 11. 2008 9:35
Nový
Re: DNSCURVE
celé vlákno
dnscurve? Cpát do názvu dns serveru opravdu dlouhý klíč mi nepříjde příliš elegantní, nehledě na to, že jsou zde problémy s patenty okolo použitého šifrování. Navíc pokud se Bernstein bude o ten svůj výtvor bude starat stejně, jako např. o djbdns (kolik let už na něj nebylo sáhnuto?), tak zlaté DNSSEC. Ale na druhou stranu když si to chce někdo nasadit, proč ne? Já si ale raději vyberu dnssec.
Tiskni
