Vlákno názorů k článku
Google přijímá poštu po IPv6, vyžaduje ale reverzní záznam
od Filip Jirsák - Doufal jsem, že s IPv6 „povinnost“ reverzních záznamů...
-
Filip JirsákStříbrný podporovatelDoufal jsem, že s IPv6 „povinnost“ reverzních záznamů skončí, případně že se přestanou používat úplně. Při tom počtu IPv6 adres stejně nezbývá nic jiného, než aby je vlastník příslušného bloku všem vygeneroval automaticky z IPv6 adresy. K čemu tedy takový záznam bude, když tam bude akorát jinak zapsaná IPv6 adresa?
-
Ondřej CaletkaZlatý podporovatelNavíc je musí generovat v reálném čase. Nikdo nemá tak velký disk, aby se na něj vešel zónový soubor se všemi možnými záznamy byť jen jediné /64 reverzní zóny.
-
Filip JirsákStříbrný podporovatel
To bych vůbec neřešil, že ho to nepotěší, akorát dostane ochutnat své vlastní medicíny. Na blbý dotaz blbá odpověď, platí to i pro DNS :-)
-
j (neregistrovaný)
Jirsak jirsak, kdybyste si spolecne s caletkou to RFC aspon precetli, ze ...
Reverz se predpoklada pro SERVERY, pripadne pro IPcka, ktera jsou uvedena v DNS (=maji jmeno), v pripade stanic je pak treba dobre mit reverz na IPcku vygenerovanem z MAC adresy (pokud na nej zaroven ukazuje nejaky jmeno) protoze prave a JEN na TETO adrese, lze(realne) provozovat server. Reverz se naopak nepredpoklada u IPcek, generovanych nahodne a vyuzivanych pouze pro odchozi provoz.
V RFC je kuprikladu napsano, ze stanice pouzivajici privacy extension muze stejne nahodne (trebas na zaklade te nahodne IP) generovat PTR zaznam. Muze ... ale nemusi.
-
Filip JirsákStříbrný podporovatel
No jo, jenže Google vyžaduje reverzní záznam pro klienty. Navíc s rozšiřováním IPv6 se bude doufám server (= bude tam nějaká služba čekající na spojení) stávat pomalu z každého zařízení. Takže počet zařízení používaných pouze pro odchozí provoz se bude blížit nule, a ty reverzy stejně nepůjde řešit jinak, než automatickým generováním pro libovolný dotaz. A nebo se někdo chytne za nos, reverzní záznam nebude nikdo vyžadovat a v praxi je budou mít jen směrovače, u kterých to ještě dává nějaký smysl.
-
SB (neregistrovaný)
„...protoze prave a JEN na TETO adrese, lze(realne) provozovat server.“
Asi tomu moc nerozumím, ale vždycky jsem si myslel, že adresa IP je jednoznačným a DOSTAČUJÍCÍM určením zařízení v síti, na kterém si můžu pustit jakýkoliv server, co mě napadne, a systém DNS až jako nepovinná nadstavba nad tím (už z důvodu bezpečnostních problémů). Dle výše uvedené diskuse je třeba mít záznam v DNS, jinak se se mnou nebudou jiné servery bavit. 1. mi to přijde jako porušení síťové neutrality (některé servery jsou si rovnější), 2. v případě řešení spamu jako „security by obscurity“. Uniká mi něco? -
Ondřej CaletkaZlatý podporovatel
Už dnes něco takového je možné, přinejmenším pomocí PowerDNS a jeho rozmanitých backend pluginů. Ale samozřejmě je potřeba on-line podepisování, což třeba Knot bude mít zanedlouho.
On-line podepisování není žádné zlo, v podstatě všechny ostatní šifrované služby tak fungují (aspoň TLS a SSH). Výhodou DNSSECu je, že je ho možné provozovat i v režimu off-line podepisování. Ale pokud nejste zrovna správce TLD s klíči v HSM a s HSM v trezoru, prakticky si off-line podpisováním bezpečnost moc nezlepšíte.
