Vlákno názorů k článku
Věrohodné DNS čili DNSSEC

Prestoze je to velky moloch, nevidim v tom nektere konkretni veci:

- jak se podepisuji negativni odpovedi, nema-li tajny klic byt autoritativnimu DNS serveru dostupny? To se prochazi cely ten retezec?

- jak se ochrani DNS pred podvrzenim starych (tedy korektne podepsanych), ale jiz neplatnych zaznamu? Je tam treba nejaka vazba na seriove cislo v SOA? Hmm, a jak se vlastne bezpecne dovim, jake je ted zrovna seriove cislo?

- nebylo by lepsi misto podepisovani kazde dvojice (jmeno, typ zaznamu) podepsat jen vsechny zaznamy pro dane jmeno s tim, ze by vedle byly uvedene kontrolni soucty po jednotlivych typech zaznamu? Cili kdybych se ptal na A zaznam, tak bych neco dostal, spocital SHA1, podival se ze souhlasi, pridal k tomu SHA1 pripadnych ostatnich typu zaznamu (ziskane jednim dotazem), a z toho bych vyrobil cely SHA1 soucet a overil jeho signaturu. Prece jen nejakych 128 nebo 160 bitu checksumu pro kazdou dvojici (jmeno/typ zaznamu) je mene nez RSA podpis.

-Yenya

Jak je vidět, inteligentní člověk je schopen vymyslet různá efektivnější řešení. Ale nějak mi už delší dobu připadá, že celý systém DNS je snad od lidí uvažujících pořád jen v tisících počítačů na internetu.
Co je ale nejhorší, že nakonec řada instalací DNS-serverů je kvůli dobré funkčnosti nakofigurovaná jinak, než jak by měla být. Ale nikdo se o tom pro jistotu nazmiňuje. - A tak lidé čtou úvahy a RFC soubory o tom, jak si konceptoři myslí, že by mohl internet fungovat.
A zrovna tak se musíte asi dívat na DNSSEC. - Otázkou samozřejmě je, zda se takto internet může do budoucna dál bez reálných zpětných vazeb úspěšně rozvíjet.

No pokud je to narazka na jednoho sverazneho peopklika, ktery si standardy a normy vyklada po svem do dnes, tak ten nas bohudik taky nespasi...:-) (a jeho software odmitam pouzivat treba ja; a az se jeho vytvory nauci slusnemu chovani, mozna bude na case o nich uvazovat - jenze jejich autor jasne deklaroval, ze se tak nikdy nestane, takze jsem vlastne o nic neprisel)