Vlákno názorů k článku V CZ je nejvíce domén chráněných DNSSEC na světě od Petr - Opravdu je nutné podepisovat domény, když tu máme...
-
Kompletni odpoved by byla pomerne dlouha, odpovim tedy jen v par bodech:
1) K elektronickemu bankovnictvi se skutecne obvykle pristupuje pomoci https, ale mimochodem mnoho uzivatelu tam chodi odkazem z homepage banky (ktera je obvykle bez https). Ale uvedomte si, ze pokud umite presmerovat DNS, dokazete casto i ziskat pro takovou domenu alespon nejaky certifikat, ktery Firefox/IE akceptuji. (Zkusenosti ukazuji, ze nekdy lze ziskat takovy certifikat i bez napadeni DNS. Bohuzel.)
2) Dale tu mate zpravodajske servery, u ktery je pouziti https pomerne zbytecne, ale asi by bylo dobre, aby bylo zaruceno, ze informace pochazeji prave od nich. Jiste si umite predstavit, co by se delo, pokud by na nejakem velkem zpravodajskem serveru objevila nejaka hodne poplasna zprava. Mohlo by to negativne ovlivnit chovani mnoha lidi.
3) Bohuzel porad jeste pouzivame protokol SMTP a presmerovavat maily je diky napadeni DNS velmi jednoduche. Plosne nasazeni SSL varianty se zatim bohuzel nekona.
4) Diky nasazeni DNSSEC se stava v DNS zabezpecena databaze. Tento maly detail umoznuje nasazeni zcela novych sluzeb/zaznamu. Jeden z nich je kuprikladu SSHFP. Pokud mate zkusenosti se ssh a take vzdycky automaticky akceptujete certifikat protistrany a rikate si, ze to asi neni dobre, tak jiste prave SSHFP ocenite.
-
Petr (neregistrovaný)
A co udělá smtp server, když zjistí, že si vyresolvoval podvrženou ip adresu? Nedoručí e-mail a vrátí ho odesílateli?
Ad 1) Podle mne pořád hodně záleží na zkušenostech uživatele, jak moc se nechá oblbnout.
Ad 2) Pokud data nejsou digitálně podepsaná, tak nemůžu mít nikdy zaručeno, že jsou autentická. Uznávám, že se v tomto případě se potlačí alespoň jedna cesta jak data změnit.
