Prestoze je to velky moloch, nevidim v tom nektere konkretni veci:
- jak se podepisuji negativni odpovedi, nema-li tajny klic byt autoritativnimu DNS serveru dostupny? To se prochazi cely ten retezec?
- jak se ochrani DNS pred podvrzenim starych (tedy korektne podepsanych), ale jiz neplatnych zaznamu? Je tam treba nejaka vazba na seriove cislo v SOA? Hmm, a jak se vlastne bezpecne dovim, jake je ted zrovna seriove cislo?
- nebylo by lepsi misto podepisovani kazde dvojice (jmeno, typ zaznamu) podepsat jen vsechny zaznamy pro dane jmeno s tim, ze by vedle byly uvedene kontrolni soucty po jednotlivych typech zaznamu? Cili kdybych se ptal na A zaznam, tak bych neco dostal, spocital SHA1, podival se ze souhlasi, pridal k tomu SHA1 pripadnych ostatnich typu zaznamu (ziskane jednim dotazem), a z toho bych vyrobil cely SHA1 soucet a overil jeho signaturu. Prece jen nejakych 128 nebo 160 bitu checksumu pro kazdou dvojici (jmeno/typ zaznamu) je mene nez RSA podpis.
-Yenya
Názor k článku
Věrohodné DNS čili DNSSEC
Tiskni
