Vlákno názorů k článku Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS? od VS - Využití DNSSEC pro důvěryhodnou distribuci certifikátů a veřejných...

Využití DNSSEC pro důvěryhodnou distribuci certifikátů a veřejných SSH klíčů by mohlo být skutečně užitečné.
Dejme tomu pro to SSH – když si doplním ty záznamy do DNS, kde všude musí být „speciální“ podpora, aby ssh klient na linuxu, nebo třeba putty na Windows ověřil klíč přes DNS? Stačí doplnit to do samotného ssh klienta, nebo je nutnost spolupráce resolveru operačního systému, popř. i rekurzivního DNS serveru?
Použití pro validaci SSL certifikátů by se dost hodilo, a možná by to bylo i bezpečnější, než důvěryhodné certifikáty, co si dnes stáhnu s instalátorem firefoxu. Ale asi to jen tak seriózně použitelné nebude. Když je ještě dnes třeba brát ohled na 10 let starý IE6…

U putty nemuzu slouzit, ale UNIXove ssh jiz se SSHFP bezne pracuje, doporucuji vyhledat VerifyHostKeyDNS v ssh_config(5). V systemu zadna specialni podpora byt nemusi.
A rozhodne mate pravdu, ze to SSL je beh na dlouhou trat.

Děkuji za informaci o tom ssh_config. Ale jen pro přesnost – aby to fungovalo, tak můj „nejbližší“ DNS, resp. ten, co mám nastaven v /etc/resolv.conf musí podporovat DNSSEC, je to tak? Pokud ano, tak stačí, když si nainstaluju lokální rekurzivní BIND, který bude znát ty správné kořenové klíče (resp. do konečného podpisu kořenové zóny klíče pro jednotlivé TLD)? Jasný předpoklad je, že ISP mi nijak nezasahuje do DNS provozu.

On ten zaznam SSHFP trochu predbehl dobu, takze vubec neni na DNSSEC vazan. SSH pak vubec nijak neoveruje validitu DNS. On je obecne problem na aplikacni vrstve zjistit, zda-li bylo DNS validovano pomoci DNSSEC ci nikoliv.
Mimochodem, korenova zona uz podepsana je, rozhodne doporucuji validaci DNSSECu zapnout. Navod, jak to udelat, napsal kolega Sury na nas blog – http://blog.nic.cz/2010/07/15/dnssec-klic-v-korenove-zone/
A jeste jedna poznamka k Vasemu dotazu v prvnim prispevku. SSL nemusi souviset pouze s HTTPs. Diky tomuto mechanismu bychom mohli rozjet napriklad SMTPs, ktere se dnes moc nevyuziva, a podobne. Tam by mohl byt vyvoj prece jenom trochu rychlejsi.

Pokud vím jediný systém, kde SSHFP funguje správně s DNSSEC je Fedora (coby leader v DNSSEC :) ). Mají tam speciální patche v libc stub resolveru a ssh klientovi, které mu umožňují ověřit, zda dostal DNSSEC podepsanou odpověď a pokud ano, napíše prostě že klíč serveru souhlasí s otiskem v DNS a na nic se neptá.

Na ostatních distribucích zapnutí volby VerifyHostKeyDNS způsobí jen vypsání hlášky o nalezení/ne­nalezení otisku klíče v DNS, ale uživatel stejně musí potvrdit, jestli se opravdu chce připojit. To je riziko pro neparanoidní uživatele, kteří napíšou yes, aniž by se vůbec podívali, co jim to napsalo :)