Názory k článku Druhá fáze automatizované správy DNSSEC klíčů
-
Sten (neregistrovaný)
Můj prohlížeč DNSSEC nevaliduje, ale dnsmasq běžící na mém počítači, kterého se ptá, ano.
Můj registrátor měnit záznamy DNS jen tak nemůže, protože nemá klíče. Může změnit DS a přepodepsat celou doménu, ale to trvá poměrně dlouho, dostanu notifikaci od registru a riskuje tím ztrátu certifikace, rozhodně to není tak jednoduché jako jen tak podvrhávat záznamy, jako to dělá OpenDNS.
-
Filip JirsákStříbrný podporovatelVida, Jéčko polemizuje samo se sebou. Ještě začne samo sobě nadávat do debilů, a bude to dokonalé.
-
Sten (neregistrovaný)
Doména není byt a auto ti policie klidně může zabavit tak, že tě z něj vyhodí na ulici a dojdi si domů sám. Navíc jsem ti napsal případ, kdy tohle policie POUŽILA proti konkrétní doméně, CZ.NIC doménu ZABLOKOVAL a soud to následně SCHVÁLIL jako legitimní postup. Co víc bys ještě chtěl?
-
Sten (neregistrovaný)
To má CZ.NIC ODVR taky a nepotřebuje při tom falšovat domény kvůli reklamě a blokovat DNSSEC.
-
M. (neregistrovaný)
A ne snad? K tomu přeci to slavný https slouží. Zajdu na pobočku mbanky a nechám si nahrát jejich certifikát, pak si ho nainstaluju do prohlížeče po pokud budu důvěřovat tý babě na přepážce, tak bych měl mít jistotu bezpečnýho spojení s tou bankou, nebo ne? Jenom mi právě uniká co navíc přináší zabezpečení DNS. Takhle mi to připadá jako, že se to celý nese na vlně, všechno musí být zabezpečený, tak pojďme zabezpečit i DNS.
-
Filip JirsákStříbrný podporovatel
Internet není jenom web. Navíc když v tom certifikátu máte doménu, tu doménu musí někdo ověřit – a dělá to opět přes DNS.
-
Ondřej CaletkaZlatý podporovatelNapříklad pokud na doméně provozujete elektronickou poštu, nemáte bez DNSSEC žádnou možnost ověřit, že poštu posíláte zamýšlenému adresátovi.
-
j (neregistrovaný)
To jiste ... MTA vubec neumej (uz par desetileti) pouzivat ssl, a to vcetne pripadnyho overovani klice. Stejne jako (kazdej svepravnej) klient neumi mail zasiforavat, cim jinym nez klidem adresata, takze jestli ho dostane nekdo jinej, tak at si to uzije.
A opet, chtel bych videt MTA, ktery overuje dnssec ....
-
Filip JirsákStříbrný podporovatel
Co se asi tak stane, když se MTA připojí na podvrženou IP adresu a protější strana mu řekne, že žádné TLS nepodporuje?
DNSSEC neověřuje MTA, ale DNS resolver. Klidně to můžou ověřovat všechny DNS resolvery po cestě – knihovní DNS resolver přímo na počítači, kde běží MTA, DNS resolver (a cache) v lokální síti, pokud je provozován, i DNS resolver třeba ISP, pokud ho používá ten DNS resolver v místní síti.
-
Filip JirsákStříbrný podporovatel
Kdyby takhle nějaký MTA fungoval, spoustu e-mailů by nikdy nedoručil. Protože ještě zdaleka neplatí, že by každý MTA měl důvěryhodný certifikát. Možná si to pletete s tím, že MTA může být nakonfigurovaný tak, že pro některé vybrané servery je TLS povinné – akorát že seznam takových MTA bude správce vytvářet ručně, takže tam typicky bude mít jen jednotky nebo maximálně desítky známých a prověřených serverů. Pokud ale nějaký MTA někde vyžaduje TLS, bude to spíš díky tomu, že podporuje DANE a doména má příslušný DNS záznam.
De-Mail je dost speciální případ, rozhodně neplatí vaše premisa, že když něco dělá De-Mail, chovají se tak úplně všechny MTA. Ono například (logicky) není možné ani poslat klasický e-mail na De-Mail.
