Názory k článku NSEC3 – DNSSEC, který nic nevyzradí
-
Bobrnautus (neregistrovaný)dnscurve? Cpát do názvu dns serveru opravdu dlouhý klíč mi nepříjde příliš elegantní, nehledě na to, že jsou zde problémy s patenty okolo použitého šifrování. Navíc pokud se Bernstein bude o ten svůj výtvor bude starat stejně, jako např. o djbdns (kolik let už na něj nebylo sáhnuto?), tak zlaté DNSSEC. Ale na druhou stranu když si to chce někdo nasadit, proč ne? Já si ale raději vyberu dnssec.
-
Leinad (neregistrovaný)Subjektivně si myslím, že můj poskytovatel má právo si na svém DNS serveru cacheovat neměnící se záznamy. Nerad čekám, nerad DoSuji ve spolupráci s celým světem nějakou centrálu. Pokud by mi zvýšení věrohodnosti DNS mělo zvýšit bezpečnost, tak dobře. Ale v oblasti, kde nevěřím DNS obvykle nevěřím ani IP směrování. K čemu mi je správná IP adresa mé banky, když mě seřízený router přepojí jinam? Přistupuji k tomu takto: někam se připojím, není garantováno kam. Správnost si ověřím na vyšší vrstvě(třeba https).(BFU: bude to zase otravovat s odklikáváním certifikátů? Ukáže to fajfku(vždycky) nebo křížek(průšvih, nepsat hesla, volat o pomoc) nebo nic(u banky taky průšvih).)
-
Volba mezi NSEC vs. NSEC3 je možná pro každou zónu, tudíž jestli pro vlastní zónu (doménu) chcete použít NSEC3, tak vám v tom nic v zásadě nebrání.
Resp. trochu vám v tom brání ona mizivá podpora na straně validujících resolverů - unbound to umí, ale bind bude umět NSEC3 teprve v 9.6 a bude nějakou dost delší dobu trvat než dojde k samotnému nasazení této verze (když teprve teď je v betě). Ale to se časem spraví.
