Vlákno názorů k článku TCP ve světě DNS: více dat a méně útoků od Pavel Šimerda - Zabezpečení série dotazů přes TLS je samozřejmě super...

Zabezpečení série dotazů přes TLS je samozřejmě super nápad, ale jak se bude to TLS navazovat? To bude jen oportunistické nebo bude potřeba namísto samotné IP toho DNS serveru konfigurovat dostatek údajů k autentizaci serveru vůči klientovi?

V komunikaci stub to resolver bych to přesně takhle viděl (tj. pinning)... Samotné skoro-RFC k tomu říká toto:

The client will then authenticate the server, if required.  This
document does not propose new ideas for authentication.  Depending on
the privacy profile in use (Section 4), the DNS client may choose not
to require authentication of the server, or it may make use of a
trusted Subject Public Key Info (SPKI) Fingerprint pinset.

Pokud se bavíme o komunikaci resolver<->autoritativní DNS, tak tam dává nejvíc smysl použít TLSA.

P.S.: Díky Lennartovi a jeho "opportunistic DNSSEC" v systemd-resolved máte od teď v RH zakázáno používat slovo oportunistický ;)

Lennart se pokud vím veřejně vyjádřil, že si dělá vlastní resolver s vlastním aplikačním protokololem založeném na dbusu, a co si s tím uděláme v RHELu ho v podstatě nezajímá.