Vlákno názorů k článku Let's Encrypt nabídne plné ECDSA, validaci z více bodů a vlastní CT log od Petr M - Tak to je hodně práce na to, že...
-
Petr M (neregistrovaný)
Tak to je hodně práce na to, že v podstatě jenom hodí elektronický podpis na to, že "Neznámá osoba, která může manipulovat s DNS záznamem domény XY, může manipulovat s DNS záznamem domény XY". Kdyby si ta neznámá osoba připnula do DNS "Potvrzuji, že ať jsem kdokoliv, můžu manipulovat s touto doménou", hodně práce, času a peněz by se ušetřilo...
-
peter (neregistrovaný)
Myslím si, že v prípade Let's encrypt ide hlavne o to aby spojenie bolo šifrované medzi užívateľom a poskytovateľom obsahu. To DNS nerieši.
Napríklad Google, ako to tu už niekto spomínal, má na tom eminentný záujem aby sa nemusel deliť zo ziskami z reklamy s poskytovateľom pripojenia, ktorému sa tak výrazne zťaží nahradzovanie a vkladanie vlastnej reklamy. Nie že by to nebolo možné, ale je to nepraktické a plošne nepoužiteľné. -
Petr M (neregistrovaný)
Šifrování je jenom půlka problému. Můžeš šifrovat jak chceš, ale pokud ti někdo cestou odchytne DNS dotaz a strčí ti jinou IP adresu, domlouváš spojení s ním místo s tím, s kým se chceš bavit. Druhá půlka je zajistit, že se bavím s tím, s kým se bavit chci. A na to je DNSSEC (nejenom pro WWW/HTTPS, ale i pro další služby).
Takže tam ti opravdu stačí, když veřejný klíč serveru picneš do DNS a správce DNS ti podepíše, že co potřebuje zákazník (IP, port, klíč) má opravdu od tebe. Připíchnout certifikaci s totožností garantovanou nějakou CA, je jenom bonus od komerční CA.
Chápu ale, že pokud TLD spravuje banda debilů, která neumí zapnout DNSSEC, tak je to pak pěkně v háji... Tam by ale měla komunita vyvinout tlak na registrátory (= fakticky odříznout některý domény od světa, dokud nezačnou fungovat) a ne vymýšlet blbiny. To pak totiž jsou i věci, který by jinak nešly.
-
peter (neregistrovaný)
Nepíšem že je to ultimátne riešenie, ale svoj účel obmedzenia poskytovateľov pripojenia aby vkladali do stránky svoje reklamy to plní.
Dajme tomu že mám ako používateľ mainstreamový internetový prehliadač, pripojím sa na internet na free wifi na letisku, zadám stránku https://www.stranka.xyz, ktorá má certifikát od Let's encrypt. Aké možnosti má poskytovateľ WIFI mi do stránky podstrčiť reklamu? Keby aj upravil DNS request a presmeroval ma na jeho server, buď jeho self-signed certifikát neprejde zoznamom mojich dôveryhodných certifikačných autorít, alebo bude musieť nejakú certifikačnú dôveryhodnú certifikačnú autoritu oklamať aby mu vydala certifikát pre danú doménu. V individuálnych prípadoch sa to určite dá spraviť. Dá sa to však robiť plošne tak aby to bolo rentabilné? Vopred vďaka za vysvetlenie. -
Sob (neregistrovaný)
DNSSEC je zajimava vec, ale ma pred sebou jeste dlouhou cestu. Jedna vec je to na domene zapnout, ale pak se s tim musi taky nejak pracovat u uzivatele.
Kdyz nam naposledy u firemniho webu rozdrbal registrator a provozovatel DNS serveru v jedny osobe DNSSEC, tak jsem si toho vsiml ja doma (kde mam vlastni Unbound) a hrstka zakazniku (jejichz ISP ma taky validujici resolver, nebo pouzivaj treba ty od Googlu). Vetsina jela vesela dal jako kdyby se nic nestalo, tzn. validaci DNSSECu neresi a muze jim podstrcit kdokoliv cokoliv.
A realne je to jeste horsi, protoze i kdyz resolver u ISP se oblbnout nenecha, primo klient uz stejne nic nevaliduje (krome 0,00nic% paranoiku, kteri si neco vlastnima silama nastavi), takze utocnik mezi nim a resolverem ma opet volnou ruku.
-
DNSSEC je bohužel už dávno mrtvé. Jsou jen asi 4 země, které to používají (CZ, NL, BR, ...) a z Alexa top 1000 to nemá snad nikdo. Nemluvě o tom, že vždy, když přijdu na nějaký hotel, tak musím lokální unbound vypínat, protože rozbité routery.
Před pár lety jsem si sehnal seznam úplně všech domén .com, .net, .org, .biz, .de, .cz, ... a oscanoval je úplně všechny (seznam získat lze, dokonce zdarma, ale je to pod NDA). Výsledek byl něco jako 1.15% mělo DNSSEC.
