Bez bezpečné i poslední míle je celé DNSSEC úplně k ničemu a tím spíše je k ničemu i otevřený validující resolver. Protože když mi někdo něco podvrhne na trase zařízení-váš_resolver, tak to nepoznám a ještě mne bude hřát pocit falešného bezpečí (!!!). Pokud má mít DNSSEC smysl pro servery, pak jistě, ale byl bych poněkud ujetý admin, který by sice trval na DNSSEC, ale bral si ho z veřejného resolveru (který není pod mou kontrolou).
Čili DNSSEC je dodnes pouze akademická šaškárna (taky ji provozuju), na kterou všichni z vysoka pečou - třeba i Chrome (kvůli existenci TLD s 1024bit RSA klíči). Jo vlastně si mohu do Firefoxu/Chrome dát rozšíření (mám ho, ale jasně jsem zanedbatelná entita). Tedy mi znovu zase vychází, že DNSSEC je dneska stále naprosto nanic.
https://bugzilla.mozilla.org/show_bug.cgi?id=14328
To stim souvisi, oni soudruzi uz 18 let nejsou schopny implementovat obecnej DNS dotaz ... prej by to byla prace ... a prej by se pak web nacet o 0,000prd ms pozdejs ...
Zato na picoviny, jako zmena UI 10x rocne je casu i prostredku dost ...
Mno tak se aspon implementujou nepouzitelny hovadarny jako trebas hsts ... zejo ...
Jednou se připojíte na Wi-Fi někde v kavárně a kdykoli potom dostanu vaši poslední míli přes Pineapple.
Nebo pokud vás zastihnu v té kavárně (byť byste si četl pouze idnes), mohu vám otrávit cache.
Ano, mírně zjednodušuju, ale pro běžné uživatele je to často mission impossible a pro pokročilé je dost oříšek nic nezanedbat. A to nemluvímo takových probémech, jak sehnat bezpečný router.
Můžou třeba jen využívat toho, že u Google je velká pravděpodobnost, že už bude mít celý řetěz vyresolvený v cache, a DNSSEC ověřovat u získané odpovědi; mám to tak na serverech taky (tedy s tím, že to automaticky fallbackuje na rekurzivní resolving). Samozřejmě je spousta ISP, kteří DNSSEC nevalidují. Ale pak je taky spousta ISP, které to dělají, jak se nedávno přesvědčil Wedos.
Pokud jiný zákazník může udělat MITM útok na tvé DNS dotazy uvnitř sítě ISP, je tam o dost větší problém než MITM útok na DNS dotazy.
Windows obsahuje DNSSEC aware nevalidujici forwarder=umí se řídit přiznaky ohledně DNSSEC a jak to dopadlo, ale sám nevaliduje. Navíc je v základu vypnut. Je to mířeno spíše pro firemní sítě, kde se bere, že validátor dělá třeba doménový řadič (umí to) a s řadičem se ten koncový forwarder ve woknech baví pomocí doprzněné varianty IPsecu (používá MS soukromou verzi IKE protokolu), jako ochrana toho posledního hopu. Pokud můj domácí router obsahuje validátor a umí třeba IPsec, tak jde ten ve woknech zapnout a trochou oklikou nastavit, aby se ty dotazy obalily klasickým IPsec transportem a bude to OK.
" Pokud můj domácí router obsahuje validátor a umí třeba IPsec"
Kolik tisicin promile domacich routokrabek umi ipsec? A kolik biliontin procenta z nich ... umi validovat dnssec? (pocet domacich uzivatelu ktery by ak byli schopni to naconfit je exaktne nula)
Widle dodneska neumej ani rdnss. Nedelal bych si iluze, ze v pristich 20 letech budou umet validovat dns, natoz ho sifrovat.
Jedina sice naprosto blba ale proste jedina varianta je, ze to bude delat primo aplikace - aspon ty nejrosirenesi a tudiz browsery.
Psal jsem, že to je hlavně pro firemní použití, kde to mám svázné doménou a centrálně manažované. On ten DNSSEC podporující resolver, respektive je to zadrátováno v NRPT (Name Resolution Policy Table), tak je zamýšlen hlavně jako komponenta pro DirectAccess.
Nepředpokládám, že by to masy si doma takto přiohýbaly (vyjma pár cvoků).