Vlákno názorů k článku Doména .CZ v červnu jako první nasadí eliptické křivky (ECDSA) od LambdaEx - Smrdi mi to kargokultickym ocekavanim zvyseni bezpecnosti. Vazeni,...

Smrdi mi to kargokultickym ocekavanim zvyseni bezpecnosti. Vazeni, zvyseni bezpecnosti dnssecem stoji a pada s podporou a vynucovanim na strane resolveru. Dnssec znamena spoustu nastaveni a potencial pro vznik mnoha chyb pri diskutabilnim zvyseni bezpecnosti. Dns by nemel garantovat bezpecnost: dnssec, ssh klice, spf, atd. Tyto veci proste do dns systemu nepatri.

Zatial.

Moze sa stat, ze si o dva roky kupite nejaky androidovy telefon a tam budete moct nastavit podporu dnssec presne tak isto, ako dnes hostname.

Presne :) Samozrejme, z dovodu ochrany sukromia, a vobec nie preto, aby sa vsetkemu tomu bordelu, co telefonuje domov, dali podhodit falosne ip.

Aj ked technicky androidovym zariadeniam sa da nanutit hostname cez dhcp. Tiez, zatial.

Doma DNSSEC na resolveru mám a nepamatuju si, že bych tam něco tunil. A pokud použiješ třeba resolvery CZ.NIC (https://www.nic.cz/odvr/), tak nenastavuješ nic tuplem.

K té bezpečnosti: DNS je černá skříňka. Hodíš do ní URL, vypadne IP adresa. Ty si ji nemáš jak zkontrolovat, protože ji neznáš (a kdybys ji znal, tak se nemusíš vyptávat). Takže místo adresy banky xxx.xxx.xxx.xxx dostaneš adresu útočníka yyy.yyy.yyy.yyy a ani o tom nevíš. A dělá se to jednoduše, stačí třeba unesení komunikace s autoritativním DNS domény. Proto vzniklo DNSSEC, tam majitel stránky podepíše záznam a když to nesedí, tak se nepřipojíš a vyhodí to chybu.

To, ze dostanem inu IP adresu na bezpecnosti nezmeni vobec nic, pretoze utocnik to moze zabalit hned pri kontrole TLS certifikatu. TLS certifikat tu bude bez ohladu na DNSSEC, takze samotny DNSSEC je nadbytocny.

Naopak, moze to sposobit problemy mne, ked budem chciet, aby nejaka u mna beziaca aplikacia nevidela server na ktory telefonuje domov, (alebo odkial stahuje reklamy, kam odosiela trackovanie a telemetriu...), ale kedze jej nedokazem podhodit podpisany zaznam, tak mam smolu.