Odpověď na názor
Odpovídáte na názor k článku Evoluce DNS v Linuxu aneb od resolv.conf k systemd-resolved. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
DNSsec i DNS-over-TLS to umí.
DoH je navíc stejně většinou pitomost. Je to vhodný maximálně v sítích které blokují či jinak zasahují do provozu na portu 53 a 853. V režimu ve kterém to používají prohlížeče kdy odesílají všechny dotazy na konkrétní "prověřenou" službu třetí strany to může být pro soukromí dokonce škodlivější než nešifrované DNS-over-UDP/TCP (port 53). Na portu 53 se totiž agreguje a jsou po cestě používané cache. Je tak těžší si spojit dotaz s osobou konkrétního člověka než u DoH kde to je možné až na úrovni konkrétní aplikace.
DNSsec v systemd-resolved používat lze a lze i vynutit. Ale pak nastává v sítích které používají jako DNS cache routery od společnosti Mikrotik. Jejich implementace DNS totiž stripuje DNSsec podpisy a to pak DNSsec klient vyhodnotí (oprávněně) jako útok. Výsledkem v takové síti nefunkční DNS. Je pak potřeba si do /etc/hosts přidat minimálně VPN koncentrátor a používat v takové síti VPN. Bohužel Mikrotik není jediný kdo takto blbě zasahuje do DNS záznamů. Windows nemají schopnost DNSsec ověřovat a tak se nepředpokládá že by to u klientů mělo vadit.
ČLÁNKY DO MAILU