Názory k článku
Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS?

Využití DNSSEC pro důvěryhodnou distribuci certifikátů a veřejných SSH klíčů by mohlo být skutečně užitečné.
Dejme tomu pro to SSH – když si doplním ty záznamy do DNS, kde všude musí být „speciální“ podpora, aby ssh klient na linuxu, nebo třeba putty na Windows ověřil klíč přes DNS? Stačí doplnit to do samotného ssh klienta, nebo je nutnost spolupráce resolveru operačního systému, popř. i rekurzivního DNS serveru?
Použití pro validaci SSL certifikátů by se dost hodilo, a možná by to bylo i bezpečnější, než důvěryhodné certifikáty, co si dnes stáhnu s instalátorem firefoxu. Ale asi to jen tak seriózně použitelné nebude. Když je ještě dnes třeba brát ohled na 10 let starý IE6…

U putty nemuzu slouzit, ale UNIXove ssh jiz se SSHFP bezne pracuje, doporucuji vyhledat VerifyHostKeyDNS v ssh_config(5). V systemu zadna specialni podpora byt nemusi.
A rozhodne mate pravdu, ze to SSL je beh na dlouhou trat.

Děkuji za informaci o tom ssh_config. Ale jen pro přesnost – aby to fungovalo, tak můj „nejbližší“ DNS, resp. ten, co mám nastaven v /etc/resolv.conf musí podporovat DNSSEC, je to tak? Pokud ano, tak stačí, když si nainstaluju lokální rekurzivní BIND, který bude znát ty správné kořenové klíče (resp. do konečného podpisu kořenové zóny klíče pro jednotlivé TLD)? Jasný předpoklad je, že ISP mi nijak nezasahuje do DNS provozu.

On ten zaznam SSHFP trochu predbehl dobu, takze vubec neni na DNSSEC vazan. SSH pak vubec nijak neoveruje validitu DNS. On je obecne problem na aplikacni vrstve zjistit, zda-li bylo DNS validovano pomoci DNSSEC ci nikoliv.
Mimochodem, korenova zona uz podepsana je, rozhodne doporucuji validaci DNSSECu zapnout. Navod, jak to udelat, napsal kolega Sury na nas blog – http://blog.nic.cz/2010/07/15/dnssec-klic-v-korenove-zone/
A jeste jedna poznamka k Vasemu dotazu v prvnim prispevku. SSL nemusi souviset pouze s HTTPs. Diky tomuto mechanismu bychom mohli rozjet napriklad SMTPs, ktere se dnes moc nevyuziva, a podobne. Tam by mohl byt vyvoj prece jenom trochu rychlejsi.

> Rick Lamb se při představování účastníků ceremonie přeřekl a řekl, že pocházím z „Czechoslovakia“
Já se tak v cizině představuji běžně. Vyhnu se tak trapným otázkám, zda se u nás ještě střílí a podobně. Je to zajímavé, ale Československo, i přes 40 let socialistického experimentování, mají na Západě zafixované jako hospodářsky vyspělou zemi, která se stala obětí mnoha nespravedlností a příkoří, ale v níž žijí šikovní, pracovití, mírumilovní lidé. Prostě „Czechoslovakia“ je velice dobrá obchodní značka a nevidím důvod, proč bych se jí měl vzdávat jen kvůli pár polodementním politikům a novinářům, kteří neváhali pro svůj osobní prospěch tuto značku obětovat.

Uhm, dobry napad… Este by ma zaujimalo, ked sa ta opytaju kde „Czechoslovakia“ lezi tak odpovedas ‚Severne od Osmanskej rise‘ alebo ‚Severne od Rimskeho Imperia‘?

To už se pak právě nepýtajú, protože vědí. Obyvatele velkých západních států, co existují stovky let, nějak nebaví řešit, jsme-li momentálně rytíři, co říkají „ňý“, nebo teď momentálně říkáme „eki eki eki“.

Vetu „dvou různých místech na světě“ by som zmenil na „dvou různých místech v USA“. Povodna formulacia totiz dava falosnu nadej, ze je mozne pouzivat DNSSEC aj bez rizika (potencialneho) uplatnenia roznych „bugov“ legislativy USA (DMCA, Patriot Act …).

Mohl by mi prosím někdo jednou větou vysvětlit, o co jde? K čemu je to dobré?

Elektronický podpis DNS záznamů, aby je nebylo možné zfalšovat.

Podrobně to máme rozebráno v osmidilném seriálu.

http://cs.wikipedia.org/wiki/DNSSEC
Prvá veta odtiaľ spĺňa požiadavku…

Je hezké kolik se objevilo článků popisující IMHO trochu overkill ceremonie. Spíš bych přivítal nějaký text, který by provozovatelům domén a DNS serverů vysvětlil, co to přináší a co z toho pro ně plyne.

Článků na toto téma (tj. co to je, k čemu je to dobré, jak to nakonfigurovat) na root.cz vyšlo již několik. Stačí do toho políčka vpravo nahoře vedle tlačítka Hledat napsat „DNSSEC“ a zmáčknout Enter.

> Požádal jsem tedy zástupce ICANNu, zdali bychom mohli v nějakém
> nezávislém zařízení udělat kontrolní součet, aby bylo později
> doložitelné, jaký software vstupy do HSM ovládal, a abychom tuto
> distribuci mohli dodatečně auditovat
Ano, scénka s macbookem a root heslem snímaným na kameru byla úchvatná :D

http://www.youtube.com/watch?v=iRmxXp62O8g