Vlákno názorů k článku Konfigurace DNSSEC validujícího resolveru od anonym - Neni mi jasne, jak muze klient overit integritu...

5. 1. 2009 12:14

anonymní

Neni mi jasne, jak muze klient overit integritu odpovedi od DNS serveru. Sice obdrzi podpis k domene v odpovedi, jenze u klienta nebyly zadne duveryhodne klice konfigurovany (napr. pro TLD). Nebo musi duverovat DNS serveru, ktereho se ptal? (ze nebyl kompromitovan apod.)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 1. 2009 12:09

phokz (neregistrovaný)

No klient zajistí integritu tak, že validujícímu resolveru důvěřuje. Může mu důvěřovat např. proto, že mu běží na localhostu a že svůj počítač má čistý a v pořádku.

Svému validujícímu resolveru se samozřejmě dá důvěřovat více, než např. resolveru Vašeho poskytovatele připojení k internetu.

Nicméně se dá předpokládat, že časem bude funkce validace odpovědí od dns serveru zabudována např. do glibc nebo u ne-gnu systémů do základních knihoven systému. V sočasné době tomu tak dle mých stávajících znalostí není.

Opravte mě pokud víte o existující implementaci přímo v glibc či něčem takovém.

Zprávičky