Root.cz  »  Bezpečnost  »  Centralizované DoH škodí ochraně soukromí, v roce 2019 i do budoucna  »  Názory  »  Vlákno

Vlákno názorů k článku Centralizované DoH škodí ochraně soukromí, v roce 2019 i do budoucna od dizzy - Vadí mi na tom celom ešte ďalšia vec...

  • Článek je starý, nové názory již nelze přidávat.

  • 14. 11. 2019 19:36

    dizzy

    Vadí mi na tom celom ešte ďalšia vec - Firefox bude resolvovať cez cloudflare, Chrome zrejme cez Google, ďalší program cez klasické DNS,...
    Dopadne to podobne ako dnes s SSL, kedy nový certifikát pridávate do do každého druhého programu, pretože súdruhom sa štandardná implementácia SSL nepozdáva a/alebo sú leniví sa pozrieť do systémového truststore.

  • 15. 11. 2019 6:04

    Petr M

    No a tam není řešením DoH, protože to debilní https a jeho implementace ještě chtějí ověřování certifikátů, jsou tam oddělený streamy jednotlivých uživatelů, vyšší režie (IP vs UDP) atd.

    Tam je řešení hodit si klíč prostě do DNSka a záznam mít podepsaný správcem domény, že ho nikdo nepodvrhl.

    A šifrovat DNSko? Jako nápad pěkný, ale mám na Turrisu* DNSSEC a bez něj se DNS vůbec nespustí. Něco se rozbilo v době, kdy se změnil root certifikát a nejrychlejší řešení bylo factory resetem. Teda zdálo se to, musel jsem pak ješt ručně nakonfigurovat na noťasu veřejný DNSko, najít a stáhnout root certifikáty a nahodit je do routeru pomocí SCP, jinak bylo DNSko ve stavu neživý/nemrtvý a nejelo nic. U mě sice v pohodě, ale ten čas bych okázal využít líp a nechci vidět, co se stane, když v říjnu koupí nějaký BFU noťas děckám pod stromek, nechá ho v krabici a v listopadu se změní root certifikáty.Zkažený dárek, zbytečná reklamace,... A to je jenom DNSSEC. Dovedeš si představit ještě to, že to bude šifrovaně, každý klient se musí umět připojit, ale s jinou sadou klíčů, peroidicky to měnit a když to rok nechám vypnutý, prostě to zapnout a fungovat? Tomu říkám výzva.

    * Stejně by se to ale stalo na jakékoliv potvoře s DNSSEC, která potřebuje k rozjetí kontakt s výrobcem a nemá napevno IP adresy. A hardcoded IP adresa obnáší zase jiný potíže...

  • 15. 11. 2019 7:01

    Petr M

    Upřesnění - problém byl způsoben kombinací toho, že factory reset přepisuje RTC na datum výroby (v době TLS debilita 3. stupně) a změnily se klíče DNS. Se starým klíčem OK, ale odmítly ho DNS servery a nedostal se na NTP. S aktuálním časem byl prošlý originál certifikát, takže se pak ani o nic nesnažil...

Dále u nás najdete

Kolik bude stát snížení záloh OSVČ? Každý tvrdí něco jiného

Jak funguje platforma IBM Power11?

Množství údajů dle nařízení vlády k JMHZ mnohé překvapí

Bionáplast pomáhá s hojením bércových vředů

Po Black Friday přichází Cyber Monday. Jaká je jeho historie?

Zdravotní a sociální pojištění 2026 u OSVČ: Opět výrazný růst záloh

Legitimní weby jsou zneužívány k manipulaci prohlížečů

Kubík musel na mimotělní oběh hned po porodu

Nevymknou se vládní investice do IT kontrole?

Průvodce novým vyhledáváním v éře AI. Co musíte vědět o GEO

Algoritmus místo krejčovského metru: AI přepisuje módní průmysl

Samořídicí vozítka začala doručovat jídlo v pražském Karlíně

AI vyhledávání: hrozí zánik důvěryhodných zdrojů?

Google do Androidu přidává další várku pozoruhodných novinek

Kdy se hodí a jak funguje prodloužená záruka

Zahraniční cestovní náhrady v roce 2026. 0smnást nových sazeb

Co nového přináší Securitytrends 4/2025?

Celková anestezie u zubaře bude na pojišťovnu, ale jen pro někoho

V Praze jídlo rozváží roboti. „Kurýři nebudou mít co žrát,“ zní na sítích

AI reklama Rohlíku to schytala na sítích. Prý je bezpohlavní