Odpověď na názor
Odpovídáte na názor k článku Počet domén .CZ zabezpečených pomocí DNSSEC překročil jeden milión. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
DannyStříbrný podporovatelJasne, a ze se lidem rovnou neradi povolit AXFR, aneb kdyz obsah zverejnovat, tak proc to komplikovat ;-) Ale preskocil jsi v RFC9276 jedno velmi dulezite "kdyz". Cituji, doslova "if the operational or security features of NSEC3 are not needed". A tam je zakopany pes...
Jak tohle muze poskytovatel sluzeb pro desitky tisic domen (a to je realny pripad, nikoliv ma fabulace) u kazde domeny vedet, ze opravdu ty bezpecnostni vlastnosti NSEC3 nepotrebuje, aby si tim ospravedlnil plosne (a vychozi) pouziti NSEC? A vedi to opravdu koncovi uzivatele danych sluzeb, ze svou zonu nikoliv o sve vuli vystavuji do internetu? Informovany souhlas tam od tech koncaku asi mit nebudes, zeano. To je hodne low-level detail. A bez detailni analyzy skutecnych dopadu jen proto, aby se nahnalo co mozna nejvetsi cislo podepsanych domen zbrkle proste je. Registrator si honi hvezdicky, CZNIC se honi za cislicky... ale ze si realne i tebou odkazovanym RFC9276 vytreli vsichni zadek a bezpecnost, ktera se tam neopomiji proste a jednoduse neresi. Na to, abys mohl s klidnim svedomim u vsech hostovanych domen zapnout NSEC musis mit 100% jistotu, ze u zadne bezpecnostni duvod opravdu neni.
