Názory k článku
Co je dobré, špatné a ošklivé na IPv6, vysvětluje Geoff Huston
-
v době, kdy stejně DNS informace zabezpečujeme i pomocí DNS over TLS a DNS over HTTPS mi argumentace s náročností DNS přes TCP přijde trochu úsměvná
Tak se přestaňte usmívat a nejdřív si něco zjistěte. DoT a DoH jsou dosud naprosto marginální záležitostí, a hlavně se týkají komunikace jednotlivých uživatelů s DNS resolvery. Ale ty problémy s DNSSEC-over-UDP jsou hlavně mezi resolvery a autoritativními servery, kde je to výkonově největší maso.
-
Adam KaliszStříbrný podporovatelTo jste mi to nandal. :-) U DoH se pokud vím komunikuje na rozdíl od tradičního DNS rovnou s resolverem někde u Cloudflare, Google apod. a krok lokálního síťového resolveru se přeskakuje. Cílové resolvery velkých společností tento problém samozřejmě budou dál muset nějak řešit, ale možná tam už hraje větší roli caching a taky latence k root a autoritativním serverům bude možná nižší, čímž se zase hlavně u TCP sníží náročnost. Možná je tedy náročnost DoH Cloudflare, Google apod. jedno resp. se jim to nějak vyplatí? Předpokládám, že jinak by to tak vehementně netlačili.
Já neříkám, že je to blbost nebo že nemá Geoff Huston pravdu (jinak bych o tom asi nepsal článek), jenom říkám, že tady jsou určité konflikty ve směru vývoje IETF, kde se čím dál více dbá na nějakou formu TLS a DNS možná i s ohledem na IPv6 a problematice náročnosti toho všeho v praxi. Nebo mi chcete tvrdit, že v IETF neví, co dělají?
Nakonec jistě můžete prezentovat Vaše data k té náročnosti nebo třeba nabídnout řešení fragmentace na IPv6 při použití UDP a DNSSEC přímo v DNS resolveru nebo autoritativním serveru.
Jedno možné řešení vidím třeba v tom, snížit MTU na 1400 nebo dokonce 1280 bytů při použití IPv6. Tak to dočasně řešil např. zmíněný Cloudflare: https://blog.cloudflare.com/increasing-ipv6-mtu/. Hlavně pro zákazníky UPC/ Vodafone by mohl být zajímavý nástroj a návod na zjištění MTU mezi Cloudflare a klientem: http://icmpcheckv6.popcount.org/ Více k těmto testům je taky napsáno na blogu Cloudflare: https://blog.cloudflare.com/ip-fragmentation-is-broken/
Ano, snižování MTU asi nezlepší výkon, ale pořád to je UDP a ne TCP... Jedno řešení by také mohlo být neodesílat tak velké DNS odpovědi, třeba využitím ECDSA a jiných algoritmů než RSA v DNSSECu. Rozhodně je to celé zajímavé téma a zase jeden příklad toho, jak je prakticky každá technologie v praxi do nějaké míry rozbitá. -
DoH má jediný důvod, získat uživatelské metriky, aniž by používali něco tak okatého jako cookies (a neposkytnout je ISP). A celé to schovat za "lepší soukromí".
Z tohoto pohledu je investice Googlu do open DNS, stejně jako do DoH velmi dobrý tah. DNS query víceméně mapují celý váš pohyb na internetu, minimálně tedy tu komerčně zajímavou část. Kombinace vlastního prohlížeče a vlastního DNS resolveru efektivně prodlužuje Google CDN až ke klientovi. Google je v tomto ovšem extrém, CloudFlare takové možnosti nemá. Zatím.
DoT je možná, podle toho komu věříte více, lepší cesta co se týče soukromí, ale ostaní problémy jsou stejné, příliš velký paket, nutná fragmentace, overhead TCP spojeni => latence DNS query a opticky pomalý internet.
HTTPs over QUIC, nebo redukce objemu dat v UDP paketu může řešit problém s overheadem, ale problém s předstíráním soukromí to nevyřeší ani omylem. Vždycky to nakonec spadne na rozhodování, kterému pošťákovi svěříte svůj nezalepený dopis, tedy, DNS query.
A mimochodem, myslím že Geoff Houston opravdu nemá valné mínění o IETF, jeho kritika je na jeho blogu více než kousavá Measuring IPv6.13. 7. 2020, 16:14 editováno autorem komentáře
-
Bez nadsazky se da rict, ze Geoff je opravdovy nepritel IETF a RFC povazuje primo za kacirske dokumenty ...
oh ... wait ...
https://getrfc.com/author/775
ČLÁNKY DO MAILU