Odpověď na názor

No ve vasi zone asi nic extra zajimaveho nebude :-) Ale predstavte si treba beznou statni instituci ci nejaky vetsi korporat. Vycist tam muzete veci, ktrere ani z CT logu nevylouskate (ostatne mit wildcard certifikat na domenu neni zadna cerna magie, zeano). Jsou "experti" co si do DNS strci i vnitrni (privatni) IP adresy. Vsak NSEC3 nikdo neoznacil jako deprecated a svuj duvod to ma...

Bohuzel nic lepsiho nemame. Jinde sice "blaznime" s PQ sifrovanim, takze weby nebo treba SSH zabezpecujeme vcelku paranoidne, web bez TLS je oznacen automaticky za nebezpecny... a pak tu mame skvely DNS, kde se nesifruje dohromady nic a spis se povoluji srouby ad odkazovane RFC9276 - za kterym je skryte lobby sofwarovych vyvojaru, kdy i "sul" a "vice iteraci" je spatne. Ale jakze dlouho se vi o nedokonalostech NSEC3? 10+ let? A dela se s tim realne neco?

Ja nemam v principu nic proti NSEC - pokud se to udela spravne. A treba Cloudflare to i umi. Ale jak uz padlo, ono je to trosku opruz, musi se vyresit veci okolo, do kterych se malokomu chce. Boura to tradicni model (hidden)master - slave, podpisove klice musi byt vsude. Takze v realu mnohe ty nasazeni NSEC skonci u toho, ze ze zony je verejna vystavka. A znovu se ptam, kdyz teda nikomu "nevadi", ze tu zonu ziska celou, proc teda nenecha povolene AXFR do sveta? :-)

Bohuzel v ".cz" pojeti je DNSSEC spis o marketingu. Jupiiii... mame milion zabezpecenych domen. Je to sice napul - nejspis obcas s necekanyma dirama navic, ale o tyhle lowlevel detaily jsou do PR zprav nezajimave. Jenze kvantita tady automaticky neznamena kvalitu. RFC9276 se ignoruje, i kdyz tam je bezpecnost coby aspekt resena a ma byt hodnocena - pokud jde o volbu . Fun factem je i to, ze sam CZNIC v jistem bode sam take RFC9276 vlastne nerespektuje:

cz.         900 IN  NSEC3PARAM 1 0 0 976B0E376102DEE6

- ta divna vec na konci je 16B salt... ktery by dle citovaneho RFC mel byt nula. Pritom na "odparani" staci jen upravit parametry podpisovani na strane nameserveru.