Vlákno názorů k článku
Konfigurace DNSSEC validujícího resolveru
uživatel si přál zůstat v anonymitě
5. 1. 2009 12:14
Jak DNS klient zjisti integritu odpovedi?
Neni mi jasne, jak muze klient overit integritu odpovedi od DNS serveru. Sice obdrzi podpis k domene v odpovedi, jenze u klienta nebyly zadne duveryhodne klice konfigurovany (napr. pro TLD). Nebo musi duverovat DNS serveru, ktereho se ptal? (ze nebyl kompromitovan apod.)
phokz (neregistrovaný)
8. 1. 2009 12:09
Re: Jak DNS klient zjisti integritu odpovedi?
No klient zajistí integritu tak, že validujícímu resolveru důvěřuje. Může mu důvěřovat např. proto, že mu běží na localhostu a že svůj počítač má čistý a v pořádku.
Svému validujícímu resolveru se samozřejmě dá důvěřovat více, než např. resolveru Vašeho poskytovatele připojení k internetu.
Nicméně se dá předpokládat, že časem bude funkce validace odpovědí od dns serveru zabudována např. do glibc nebo u ne-gnu systémů do základních knihoven systému. V sočasné době tomu tak dle mých stávajících znalostí není.
Opravte mě pokud víte o existující implementaci přímo v glibc či něčem takovém.
Svému validujícímu resolveru se samozřejmě dá důvěřovat více, než např. resolveru Vašeho poskytovatele připojení k internetu.
Nicméně se dá předpokládat, že časem bude funkce validace odpovědí od dns serveru zabudována např. do glibc nebo u ne-gnu systémů do základních knihoven systému. V sočasné době tomu tak dle mých stávajících znalostí není.
Opravte mě pokud víte o existující implementaci přímo v glibc či něčem takovém.
