Vlákno názorů k článku DNSSEC snadno a rychle s automatickou správou v serveru BIND od Lindovsky - Zóny s NSEC3 lze také projít, jen se...

Zóny s NSEC3 lze také projít, jen se pak musí louskat hashe.
Na procházení jsem napsal utilitku.

https://github.com/unsecured-company/nsec3walker

Ano, je to tak. Ostatně je možné do jisté míry projít i zóny bez DNSSEC, protože většina doménových jmen jsou slovníková slova a není problém jich aktivním dotazováním vyzkoušet stovky až tisíce za sekundu, čehož si málokdo všimne.

Proto taky aktuální doporučení pro nasazení DNSSEC a výchozí politika počítá s použitím NSEC, protože ostatně DNS je veřejný telefonní seznam.

Jen s tim narativem "verejny seznam" by se rovnou mohlo vsude nechavat povolene AXFR jako za starych dobrych casu. Prochazeni zony s NSEC je zhruba tak stejne narocne. Proc to delat utocnikum slozitejsi a mj. konzumovat jejich zdroje, kdyz se jim data muzou naservirovat data o nejake vnitrni infrastrukture na stribrnem podnose a usetrit mu praci s mapovanim infrastruktury. No ostatne mnohe (nejen statni) instituce takto beztak funguji, tak co... pricemz nekteri "experti" to tam maji vc. veci, co by v public view byt vubec nemeli (coz se na prvni dobrou casto pozna z RFC1018 adres u A zaznamu).