Odpověď na názor
Odpovídáte na názor k článku BIND a Unbound jsou náchylné k otrávení keše pro DNS. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelAXFR se zakazuje pro to, aby někdo neznal obsah celé zóny – mohou tam být informace, které nemusí znát úplně každý. Ovšem to není žádné bezpečnostní opatření (pokud se někdo nemá někam dostat, musí tam být firewall nebo autentizace) – je to jen taková drobnost navíc „nezveřejňovat něco, co veřejné být nemusí“. S výkonem to vůbec nijak nesouvisí, protože AXFR klidně můžete implementovat jako přenos statického souboru – nic jednoduššího a méně náročného na výkon už v síťové komunikaci neexistuje.
Pokud někdo opravdu potřebuje tajit obsah zóny, ať si ty neveřejné záznamy oddělí do samostatné zóny, kterou nebude podepisovat, a podepíše aspoň tu veřejnou zónu. Každopádně za mne je řádově větší bezpečnostní problém nepodepsaná zóna než zveřejnění neveřejných záznamů.
Psal jste, že DNSSEC vyrábí víc problémů, než řeší, a popsal jste jeden problém. To by znamenalo, že podle vás DNSSEC neřeší nic. Podle mne řeší to, aby nemohl někdo manipulovat s DNS odpověďmi.
KSK stačí obměňovat jednou za několik let. A obměníte ho jednou v KeySetu za všechny domény ze stejné nadřazené zóny. To opravdu není něco, co by se nedalo udělat ručně. Vždyť donedávna se ručně obměňovaly TLS certifikáty každý rok. A zase platí – radši podepsanou zónu s deset let starým KSK klíčem, než nepodepsanou zónu.
A samozrejme uz vubec netusi, ze pki je o overovani CA a platnosti klicu, coz k navazani sifrovaneho spojeni vubec potreba neni a jako bonus, to stejne vubec nefunguje.
Já už jsem to pochopil. Vy neumíte správně česky. Protože každá vaše věta „samozřejmě vůbec netuší“ uvozuje tvrzení, které je špatně, protože dané problematice nerozumíte. Takže vy tím myslíte, že to netušíte vy, ale nevíte, jak to správně napsat.PKI znamená „Public Key Infrastructure“ a zahrnuje to celou infrastrukturu kolem zajištění důvěryhodnosti veřejných klíčů, tedy certifikační autority, vydávání a zneplatňování certifikátů, důvěryhodné autority.
Všechny metody navazování TLS spojení s výjimkou PSK vyžadují, aby server zaslal svůj certifikát.
To, že něčemu nerozumíte, neznamená, že to nefunguje.
Mimochodem, bylo by fajn, kdybyste konečně začal dodržovat pravidla zdejších diskusí. To, že něčemu nerozumíte, to se stane (vám hodně často). Urážet kvůli tomu ostatní ale nemusíte. Dokonce i kdybyste měl výjimečně pravdu, není to důvod urážet ostatní.
