Vlákno názorů k článku
Počet domén .CZ zabezpečených pomocí DNSSEC překročil jeden milión od Marvin - Kolikpak asi z těch 1M domén má svoje...

Kolikpak asi z těch 1M domén má svoje vlastní klíče a kolik používá keyset registrátora?

Tahle statistika už dnes nebude moc vypovídající. Díky automatické správě keysetů může registrátor klidně pro každou doménu používat samostatný klíč. To je ostatně výchozí chování snad všech systémů na správu DNSSEC.

Viz vyse. Tvoje znalosti realii na ceskem trhu vubec nekoresponduji s tvymi teoriemi. I ten registrator, ktereho vyse mam na mysli ohledne zbrkleho zapinani DNSSEC kvuli honbe za hvezdickami pouziva jeden klic pro vsechny....

Pokud to tak jako tak všechno podepisuje stejná entita, stejná sada strojů, tak je jeden klíč nějaký bezpečností problém? Dokonce takový, že to je horší než nepodepisovat vůbec?

9. 10. 2025, 20:31 editováno autorem komentáře

Jo, a ktera BCP teda rika, ze tohle je "cajk" pocinani? :-) Nikdy tomu tak nebylo. Unik jednoho privatniho klice, co fakticky zabezpecuje tisice domen je vzdy - z logiky veci vetsi prusvih.

A mimochodem primarni jadro diskuze neni o tom, jestli nepodepisovat vubec a nebo podepisovat jen jednim klicem. Diskuze se vede o tom, jestli zbrkle zapinat DNSSEC za cenu vytvareni novych der, kterych si drzitele domen casto nemusi byt vedomi - a soucasne si obcas do DNS pisou i veci, ktere by ve verejne dostupne zone proste a jednoduse byt vubec nemely (smutna realita). Takze znovu, pokud nekdo ma NSEC v modelu ala Cloudflare, neni s tim problem.... ale tak jak se to nasazuje v Cesku to je proste fail. Jiste, je to "jednodussi"... ale v realu spise pyrrhovo vitezstvi - aneb sice to mame hezku podepsane, ale treba nevedomky vystavujeme do celeho sveta veci, ktere jsme nezamysleli. A usnadnujeme tak pohyb utocniku - mj. ze zemi, odkud za normalnich okolnosti by by ten dotaz ani neprisel (tudiz nemohl byt odchycen).

Nabizi se otazka, proc mate potrebu obhajovat prostedi, ktere mj. treba i rusakum usnadnuje jejich zaskodnickou cinnost? ;-) Protoze tak to proste je. No tak se na to vykasleme, muzem teda vsecko krasne podepsat, abysme se mohli placat po ramenou co se cisel tyce, vedle toho nechat povolene AXFR, protoze proc ne...
_{PS: Kdy ze nam povolite AXFR na gov.cz? ;-)}