Názory k článku Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS?
-
Využití DNSSEC pro důvěryhodnou distribuci certifikátů a veřejných SSH klíčů by mohlo být skutečně užitečné.
Dejme tomu pro to SSH – když si doplním ty záznamy do DNS, kde všude musí být „speciální“ podpora, aby ssh klient na linuxu, nebo třeba putty na Windows ověřil klíč přes DNS? Stačí doplnit to do samotného ssh klienta, nebo je nutnost spolupráce resolveru operačního systému, popř. i rekurzivního DNS serveru?
Použití pro validaci SSL certifikátů by se dost hodilo, a možná by to bylo i bezpečnější, než důvěryhodné certifikáty, co si dnes stáhnu s instalátorem firefoxu. Ale asi to jen tak seriózně použitelné nebude. Když je ještě dnes třeba brát ohled na 10 let starý IE6… -
Děkuji za informaci o tom ssh_config. Ale jen pro přesnost – aby to fungovalo, tak můj „nejbližší“ DNS, resp. ten, co mám nastaven v /etc/resolv.conf musí podporovat DNSSEC, je to tak? Pokud ano, tak stačí, když si nainstaluju lokální rekurzivní BIND, který bude znát ty správné kořenové klíče (resp. do konečného podpisu kořenové zóny klíče pro jednotlivé TLD)? Jasný předpoklad je, že ISP mi nijak nezasahuje do DNS provozu.
-
On ten zaznam SSHFP trochu predbehl dobu, takze vubec neni na DNSSEC vazan. SSH pak vubec nijak neoveruje validitu DNS. On je obecne problem na aplikacni vrstve zjistit, zda-li bylo DNS validovano pomoci DNSSEC ci nikoliv.
Mimochodem, korenova zona uz podepsana je, rozhodne doporucuji validaci DNSSECu zapnout. Navod, jak to udelat, napsal kolega Sury na nas blog – http://blog.nic.cz/2010/07/15/dnssec-klic-v-korenove-zone/
A jeste jedna poznamka k Vasemu dotazu v prvnim prispevku. SSL nemusi souviset pouze s HTTPs. Diky tomuto mechanismu bychom mohli rozjet napriklad SMTPs, ktere se dnes moc nevyuziva, a podobne. Tam by mohl byt vyvoj prece jenom trochu rychlejsi. -
Ondřej CaletkaZlatý podporovatelPokud vím jediný systém, kde SSHFP funguje správně s DNSSEC je Fedora (coby leader v DNSSEC :) ). Mají tam speciální patche v libc stub resolveru a ssh klientovi, které mu umožňují ověřit, zda dostal DNSSEC podepsanou odpověď a pokud ano, napíše prostě že klíč serveru souhlasí s otiskem v DNS a na nic se neptá.
Na ostatních distribucích zapnutí volby VerifyHostKeyDNS způsobí jen vypsání hlášky o nalezení/nenalezení otisku klíče v DNS, ale uživatel stejně musí potvrdit, jestli se opravdu chce připojit. To je riziko pro neparanoidní uživatele, kteří napíšou yes, aniž by se vůbec podívali, co jim to napsalo :)
-
Biktop (neregistrovaný)
> Rick Lamb se při představování účastníků ceremonie přeřekl a řekl, že pocházím z „Czechoslovakia“
Já se tak v cizině představuji běžně. Vyhnu se tak trapným otázkám, zda se u nás ještě střílí a podobně. Je to zajímavé, ale Československo, i přes 40 let socialistického experimentování, mají na Západě zafixované jako hospodářsky vyspělou zemi, která se stala obětí mnoha nespravedlností a příkoří, ale v níž žijí šikovní, pracovití, mírumilovní lidé. Prostě „Czechoslovakia“ je velice dobrá obchodní značka a nevidím důvod, proč bych se jí měl vzdávat jen kvůli pár polodementním politikům a novinářům, kteří neváhali pro svůj osobní prospěch tuto značku obětovat. -
CHe (neregistrovaný)
http://cs.wikipedia.org/wiki/DNSSEC
Prvá veta odtiaľ spĺňa požiadavku… -
Jiří J. (neregistrovaný)
> Požádal jsem tedy zástupce ICANNu, zdali bychom mohli v nějakém
> nezávislém zařízení udělat kontrolní součet, aby bylo později
> doložitelné, jaký software vstupy do HSM ovládal, a abychom tuto
> distribuci mohli dodatečně auditovat
Ano, scénka s macbookem a root heslem snímaným na kameru byla úchvatná :D
ČLÁNKY DO MAILU