Vlákno názorů k článku Konfigurace DNSSEC validujícího resolveru od phokz - Dobrý článek. Prakticky prověřeno, zatím alespoň na bindu. Ještě,...
-
phokz (neregistrovaný)Dobrý článek. Prakticky prověřeno, zatím alespoň na bindu.
Ještě, ačkoliv ověřování pravosti důvěryhodných klíčů tu již bylo probráno, tak mi přijde zarážející, že ten pgp podpis je proveden Vaším osobním klíčem.
Na webu cznicu jsem našel jediný fingerprint a to na stránce http://www.nic.cz/csirt/
a je od klíče csirt@nic.cz
Takže je otázkou, kdo je důvěryhodnější, zda Ondřej Surý, nebo cznic.
Dále jsem přemýšlel, jestli má potenciální smysl mít k dispozici veřejný validující rekurzivní nameserver, něco jako je v případě obyčejného rekurzivního resolveru opendns.com.
Správně by měl být validující resolver co nejblíže aplikaci či knihovně, která jméno překládá,
nicméně to je často obtížné. -
Ad klíč: Máte pravdu, že situace s klíčem není ideální. Nicméně můj osobní klíč je nejdůvěryhodnější věc (http://pgp.cs.uu.nl/stats/C20DF273.html), která mi přišla aktuálně pod ruku. Už se pracuje na tom, aby klíč CZ.NICu byl taky ve strong setu, a pak KSK přepodepíšeme klíčem CZ.NICu.
Co se týče otevřených validujících resolverů, tak vidím dvě možnosti využití:
a) testování (Vám něco nefunguje, tak to zkusíte i jinde) - https://www.dns-oarc.net/oarc/services/odvr
b) validace s tím, že je potřeba s ODVR navázat nějakou formu zabezpečené komunikace (VPN, IPSec, TSIG, atp.)
O.
ČLÁNKY DO MAILU