Vlákno názorů k článku V CZ je nejvíce domén chráněných DNSSEC na světě od Honza - 1) Nic.cz bude u domény indikovat 3 stavy (podpis je...
-
Honza (neregistrovaný)
1) Nic.cz bude u domény indikovat 3 stavy (podpis je a souhlasí s údaji, podpis je a nesouhlasí!!! s údaji, podpis není). Nyní svítí zelená fajfka i když podpis potvrzuje zcela jiné DNS záznamy (což člověka nijak nevaruje před možnými problémy).
2) Většina poskytovatelů připojení (když už ne všichni) budou tuto informaci využívat k ověření DNS záznamů a vrátí něco trochu jiného než prostou 404 (aby uživatel věděl, že má lišku v kurníku nebo problém u nastavení domény). Dle mých zkušeností je dnes DNSSEC policistou, který kontroluje papíry řidičům autobusu, jenže téměř žádný autobus mu nezastavuje – a oproti realitě, postihnout jej za to nelze.
3) Budou zcela vymýceny problémy, kdy doména s platným DNSSEC k aktuálním DNS záznamům nevracela žádný obsah, protože provider měl nějaký problém (viz http://webtrh.cz/23598-problemy-zavedenim-dnssec?p=168462) – možná již není aktuální – byl bych za to rád!
-
Honza (neregistrovaný)
Ano, zabývám se převážně webem a na výše uvedené problémy jsem nedávno narazil. Věřím, že můj pohled na problematiku je jen malou výsečí možností, které DNSSEC nabízí. Přesto mi DNSSEC nadělal v době nedávné pár problémů (nedostupnost webu skrze konkrétního providera, nedoručitelnost mailu na určité schránky) – a nikdo netušil, v čem je problém (NIC.cz svítí zeleně, jinde web funguje…)A pak jsme zjistili, že „za to může“ právě DNSSEC, o který se klient neprosil a který mu byl v dobré víře přidělen.
-
1) Vypis ve whois u domeny, tedy treba http://www.nic.cz/whois/?d=nic.cz , pouze indikuje, ze domena ma v registru ulozeny verejnou cast klice. Pokud chcete vice informaci o validaci domen, doporucuji Vam treba tento doplne pro firefox. http://labs.nic.cz/page/691/dnssec-doplnek-pro-firefox/
2) 404 je pojem z HTTP sveta, to s DNS nema nic spolecneho.
3) Pokud ma nejaky ISP spatne nastavene DNS at uz s nebo bez podpory DNSSEC, je potreba kontaktovat jej. S tim nema DNSSEC nic do cineni. Je to podobne, jako kdybyste argumentoval, ze by se nemelo zavadet DNS vubec, protoze resolvery nejakeho ISP nefunguji spolehlive (a mimochodem nedavno k takove veci u velkeho ISP doslo).
-
Honza (neregistrovaný)
1) díky za info, zkusím.
2) Ano, nicméně, jak má člověk poznat, že mu nefunguje nějaká stránka kvůli chybě u providera/na doméně? Kdyby provider na takové stránce upozornil – nesouhlasí DNSSEC – člověk by přišel na problém hned a ne až po užití anonymizéru, testu přes mobilní operátory a telefonáty k provideru, že je někde chyba. Je tu technika pro lidi, nebo lidé pro techniku? Možná to jen nešikovně vysvětluji, sám nejsem v této oblasti technikem…
3) Tím chci říci, že já domény svých klientů nechám podepsat rád, až nebudou takovéto dětské nemoci tak časté, jak jsem se s nimi měl tu čest seznámit. Vysvětlovat klientovi, že mu nejede web u jeho zákazníků proto, že je nějaký nedostatek v implementaci poskytovatele připojení již opravdu nechci. Nechápou to a právem pak ze svého pohledu argumentují, že než takové problémy, tak to raději žádný DNSSEC ani jiný bazmek nechtějí.
-
2) Obecne lze rict, ze pokud je chyba v DNS resolvingu u ISP, poznava se to pro laika obtizne. Nicmene to DNSSEC az tak zasadne nemeni. Je to dobry namet k zamysleni, mozna by se nejaky jednoduchy nastroj hodil.
3) Tezko Vam radit, doufal bych, ze klient pochopi, ze nektery ISP ma ve sve siti neco chybne, ale neznam podrobnosti. Kazdopadne diky postupu DNSSECu si myslim, ze podobne prehmaty budou mit stale vetsi dopad a proto takovy ISP bude na tyto veci mnohem peclivejsi.
-
Honza (neregistrovaný)
3) Klient nepochopil (a já se mu nedivím), proč by měl pro hypotetickou vyšší zabezpečenost (která, jak vidno, moc nefungovala) přicházet o reálné zákazníky – když to není nutné. Rád mu nechám doménu znovu podepsat, až ISP budou v tomto ohledu obecně pečlivější, ale do té doby si dávám pozor…
