Hlavní navigace

Názor k článku TCP ve světě DNS: více dat a méně útoků od Ondřej Surý - V komunikaci stub to resolver bych to přesně...

  • Článek je starý, nové názory již nelze přidávat.
  • 14. 4. 2016 10:31

    Ondřej Surý

    V komunikaci stub to resolver bych to přesně takhle viděl (tj. pinning)... Samotné skoro-RFC k tomu říká toto:

    The client will then authenticate the server, if required.  This
    document does not propose new ideas for authentication.  Depending on
    the privacy profile in use (Section 4), the DNS client may choose not
    to require authentication of the server, or it may make use of a
    trusted Subject Public Key Info (SPKI) Fingerprint pinset.

    Pokud se bavíme o komunikaci resolver<->autoritativní DNS, tak tam dává nejvíc smysl použít TLSA.

    P.S.: Díky Lennartovi a jeho "opportunistic DNSSEC" v systemd-resolved máte od teď v RH zakázáno používat slovo oportunistický ;)