Názory k článku
Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
-
Filip JirsákStříbrný podporovatelSouvisí tak, že si dotyčný myslí, že DNSSEC je označení pro sekundární DNS server. Třeba si teď zjistí alespoň to, že DNSSEC je ve skutečnosti standard pro elektronické podepisování DNS záznamů.
-
Provokatér (neregistrovaný)
Nikolivěk. Dotyčný raději porovná několik záznamů, případně si nejvhodnější uloží do interní databáze, než by používal certifikáty.
Problém s ISP je takový, že mnohy nasazení DNSSEC neumožňují ani těm co něj stojí, neb przní potřebnou komunikaci. Napřed rozviňte debatu o síťové neutralitě a pak nabídněte debatu o DNSSEC.
Navíc vy DNSSEC prosazujete téměř násilím a zřejmě byste na to rádi i nějaké peníze od daňových poplatníků. Až si budu myslet něco jiného, nebudu se to váhat také prezentovat veřejně, nebojte se tedy pouze negativního přístupu z mé strany.
Co se pane Jirsák týká vás, certifikátů, státu, daní, datových schránek,... nezlobte se, ale člověk je ve střehu jen vaše jméno zahlédne.
-
Filip JirsákStříbrný podporovatel
V tom případě se řadím do zástupu těch, kteří váš příspěvek nepochopili. Čemu říkáte DNS Sec? Čemu říkáte sekundární DNS? Jaké DNS záznamy porovnáváte? Jak ISP przní potřebnou komunikaci, že to brání nasazení DNSSEC?
-
mc (neregistrovaný)
Odhaduji, že pisatel činí to co má ve svém jméně a odhaduji, že i tak ho mírně v něčem co asi úmyslně motá chápete...
Já se připojím po jeho volání po diskuzi o síťové neutralitě. Jsem malý člověk, který se občas domníval, že pokud nějaký ISP nabízí "Internet" s pevnou IP, že si budu moci třeba spustit DNS server pro nějaké domény co si koupím... Že si tam třeba spustím SMTP server a budu přes něj posílat poštu. Že se o své služby budu starat po stránce bezpečnosti... A ejhle ono to není tak snadné. O2 si třeba nedávno jen tak bez infa začne blokovat UDP port 53 k zákazníkovi a odborným periodykům je to jedno. To že ISP běžně ledacos filtrují (celá řada jich bezzardění filtruje třeba odchozí port 25) je již dávno považováno za nornální...
Už jsme všeci rezignovali? Nikomu již nevadí, že provozovat vlastní služby je stále více komplikovanější?
Že to s DNSSEC nesouvisí? Myslíte?
-
Podla mna to, ze ISP zacne blokovat niektore porty nie je problem v pripade, ak o tom ISP prehladne a jasne informuje svojich zakaznikov (existujucich aj potencialnych) a existuje uplne jednoduchy opt-out z blokovania. Toto by bol podla mna vhodny pristup, kde BFU by boli aspon ciastocne chraneni a ostatni by mali moznost na zopar kliknuti ziskat plny pristup k Internetu.
-
mc (neregistrovaný)
V aktuální situaci si takový model dokáži představit. Aktuálně se však setkávám s neinformováním a o nějakém povolení si často můžete nechat zdát. Bohužel i ve snaze jít k jinému ISP nemáte šanci zjistit před sprovozněním přípojky co ISP filtruje případně co bude filtrovat zítra...
-
Tim kutil Taylor (neregistrovaný)
Uz jsou zde i navrhy na kompletne jinej druh distribuce DNS:
http://250bpm.com/blog:10Tim
-
Petr M (neregistrovaný)
Dělám embeďáka, takže ze sítí znám jenom základy. Ale co udělá s takovým serverem stav, kdy někdo na server dodá zprávu ve fragmentech třeba 280s po sobě a timeout pro jejich zahození by byl 300s a všechno to tam sypal rychlostí několik M dotazů za sekundu? Tím se asi taky pěkně zasviní paměť...
