The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

ICANN призывает к повсеместному внедрению DNSSEC. Обновление BIND с устранением уязвимостей

24.02.2019 11:14

Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами в интернете, выступила с инициативой повсеместного перехода на использование DNSSEC для всех доменных имён. ICANN отмечает наличие значительного риска для ключевых частей инфраструктуры DNS, вызванного увеличением числа атак на DNS-серверы и ростом связанной с DNS вредоносной активностью.

Последнее время фиксируется множество различных типов атак на DNS, от захвата доменов через перехват параметров учётной записи к интерфейсу регистратора или DNS-сервиса, проводимых с целью изменения списка DNS-серверов или содержимого отдельных записей, до применения BGP для подмены DNS-серверов. Большую часть из атак, связанных с заменой привязки имени к IP, отравлением DNS-кэша или MITM-подменой, можно было блокировать в случае использования DNSSEC, так как атакующие не могли бы сформировать корректную цифровую подпись без получения закрытого ключа, который хранится отдельно у владельца домена.

Для борьбы с участившимися атаками по перенаправлению трафика на уровне изменения параметров DNS организация ICANN выработала список рекомендаций по усилению защиты для регистраторов, владельцев доменов и всех связанных с DNS представителей индустрии. Одной из ключевых рекомендаций является применение DNSSEC для защиты целостности содержимого DNS зон и включение валидации DNSSEC на стороне резолверов. При этом DNSSEC не выполняет шифрование трафика - для обеспечения конфиденциальности и защиты трафика от перехвата следует использовать DoH ("DNS over HTTPS") или DoT ("DNS over TLS").

Также упомянуты такие общие рекомендации, как применение двухфакторой аутентификации для доступа к интерфейсам управления доменами, регулярная и оперативная установка обновлений с устранением уязвимостей, анализ логов на предмет неавторизированного доступа, рецензирование обоснованности предоставления сотрудникам повышенных полномочий (root-доступа), отслеживание истории всех изменений DNS-записей, использование надёжных паролей, исключение передачи паролей в открытом виде и регулярная смена паролей. Для защиты почтовых отправлений рекомендовано использовать DMARC с SPF или DKIM записями.


Дополнительно можно отметить публикацию корректирующих выпусков DNS-сервера BIND 9.11.5-P4 и 9.12.3-P4 c устранением трёх уязвимостей:

  • CVE-2018-5744 может использоваться для вызова отказа в обслуживании через создание условий для исчерпания доступной для процесса named памяти. Проблема вызвана некорректным освобождением памяти при обработке пакетов с определённым сочетанием опций EDNS. В случае если на уровне операционной системы размер выделяемой процессу named памяти не лимитирован, атака может использоваться для исчерпания всей доступной в системе свободной памяти.
  • CVE-2019-6465 - пользователь может запросить и получить содержимое DNS-зоны не имея на это полномочий (без явного разрешения allow-transfer в ACL). Проблема проявляется только для зон DLZ (Dynamically Loadable Zones), доступных на запись.
  • CVE-2018-5745 - возможность инициирования краха (assertion failure) процесса named при указании неподдерживаемого в BIND алгоритма ключей DNSSEC при использовании режима "managed-keys". Уязвимость может быть эксплуатирована только со стороны доверенного DNS-сервера, указанного администратором в настройках в качестве сервера для валидации DNSSEC. Проблема опасна не столько атаками, сколько возможностью непреднамеренного проявления, например, когда BIND на стороне резолвера собран без поддержки устаревших алгоритмов и настроен на использование для валидации DNSSEC сервера, который может использовать один из этих алгоритмов.


  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS
  3. OpenNews: Рост атак, связанных с захватом контроля над DNS
  4. OpenNews: Анализ перехвата провайдерами транзитного DNS-трафика
  5. OpenNews: Влияние параметров DNSSEC на производительность DNS серверов
  6. OpenNews: DNSSEC на корневых DNS-серверах будет введён в эксплуатацию 5 мая
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: dnssec, dns, bind
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, timur.davletshin (ok), 12:01, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    DNS over HTTPS — шляпа. Если нужно шифрование, то только over TLS.
     
     
  • 2.15, Аноним (15), 13:25, 24/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Наоборот, если весь трафик будет HTTPS, фильтрануть будет намного сложнее.
     
     
  • 3.17, timur.davletshin (ok), 13:36, 24/02/2019 [^] [ответить]    [к модератору]
  • –3 +/
    Загугли "DNS over HTTPS criticism".
     
     
  • 4.20, Аноним (20), 14:05, 24/02/2019 [^] [ответить]    [к модератору]
  • +6 +/
    Загугли "DNS over HTTPS criticism debunked".
     
     
  • 5.23, timur.davletshin (ok), 14:12, 24/02/2019 [^] [ответить]    [к модератору]
  • –5 +/
    Хорошая попытка, но нет.
     
     
  • 6.53, Аноним (20), 01:36, 25/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    ты гуглишь только то, что вписывается в манямирок?
     
     
  • 7.55, Аноним (55), 06:00, 25/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Он просит гуглить других.
     
  • 4.75, Аноним (75), 10:35, 25/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    А что по поводу DNS over TLS criticism Daniel Stenberg говорит, что все имплеме... весь текст скрыт [показать]
     
  • 3.26, вейланд (?), 15:16, 24/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Ты не мог бы отвечать по теме? Вопрос про шифрование, а не фильтрацию.
     
     
  • 4.56, Аноним (75), 06:11, 25/02/2019 [^] [ответить]    [к модератору]  
  • +9 +/
    Он отвечает по теме. Знаешь какой главный аргумент критики DoH и одобрения DoT у одного из разработчиков DNS Пола Викси? То что он хочет в своей домашней и корпоративной сети иметь возможность блокировать шифрование днс и откатывать юзеров к обычному, потому что он хороший и ему надо верить, он лучше знает и о юзерах заботится. А DoH мешает и вызывает ненависть.
    https://www.theregister.co.uk/2018/10/23/paul_vixie_slaps_doh_as_dns_privacy_f
    https://www.theregister.co.uk/2018/10/30/dns_over_https_controversy/
    https://twitter.com/paulvixie/status/1053765281917661184
    > DoH is an over the top bypass of enterprise and other private networks. But DNS is part of the control plane, and network operators must be able to monitor and filter it. Use DoT, never DoH.
    > DoH will be the default setting for many BYOD, and will mindlessly bypass security policy. Not at all like DoT, which can be filtered by any network operators with ease, to force local resolver use. DoH is a big F.U. to ALL network operators.
    > Not an expert here, but in many/most parts of the planet, the "network operators" ARE the #1 threat.
    > And this matters why exactly? My home and Enterprise networks monitor and control DNS, for the good of the users. I am not the bad guy here.

    А теперь вопрос, вы действительно хотите его слушать и выбирать DoT? Вы считаете что провайдер/оператор/владелец сети должен за вас решать и блокировать DoT по желанию, получая ваши днс-запросы? Обратите внимание: "Not at all like DoT, which can be filtered by any network operators with ease, to force local resolver use".
    Нет. Пускай эти админы и операторы идут в лес со своими хотелками и предпочитаемым протоколом, вдарим по ним DoH.

     
     
  • 5.96, гуглефларя (?), 15:24, 26/02/2019 [^] [ответить]     [к модератору]  
  • +/
    да А мы хотим чтобы эта возможность была только у нас Верьте нам, мы правильны... весь текст скрыт [показать]
     
     
  • 6.97, Аноним (97), 20:59, 27/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Думаешь ты хоть капельку убедителен 1 Юзеры и так сидели на гуглоднс десятилет... весь текст скрыт [показать]
     
  • 3.27, Аноним (27), 15:22, 24/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Далеко не во всех странах фильтрация сколько нибудь существенная проблема. А шпиенить любят везде.
     
  • 2.49, Аноним (49), 22:49, 24/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    dnscrypt же
     
  • 1.3, Аноним (3), 12:05, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > закрытого ключа, который хранится отдельно у владельца домена

    Узкое место. Хранится не только у владельца. Потому технология ущербна.

     
     
  • 2.89, Аноним (89), 16:09, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Там разные ключи: KSK, ZSK, DSKEY. Светишь только DSKEY, а данные подписываешь ZSK.
     
  • 1.4, Аноним (4), 12:12, 24/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    угу-угу, бесконечные дыры в кривой и написанной хвостом макаки поддержке овери... весь текст скрыт [показать]
     
  • 1.5, Онаним (?), 12:13, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Как только менеджмент ключей DNSSEC перестанет быть адовыми граблями, приводящими к "потере" зоны на часы и сутки, так и сразу. Механизм публикации ключей настолько угрёбищен, что его проще избегать, чем им пользоваться. API для автоматизированной републикации ключей у большинства регистраров также отсутствует, а его наличие создаст дополнительные дыры.
     
     
  • 2.32, xm (ok), 17:08, 24/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    > приводящими к "потере" зоны на часы и сутки, так и сразу

    Вам для этого RFC6781 и RFC7583 написали как, когда и что делать. Но чукча, видимо, не читатель...

     
     
  • 3.60, Онаним (?), 09:28, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Вам сюда:
    https://ianix.com/pub/dnssec-outages.html

    Все здесь перечисленные, видимо, тоже не читатели.

     
     
  • 4.76, xm (ok), 11:24, 25/02/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    Я сам могу вам давать двухдневные курсы на эту тему, только это всё не меняет то... весь текст скрыт [показать]
     
     
  • 5.77, Аноним (77), 11:25, 25/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Конечно же не имеют. Впрочем, говорить с вами больше не о чем, всё ясно.
     
  • 1.6, Anon_Erohin (?), 12:29, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –10 +/
    Ага, сейчас победали сразу. Ни в коем случае нельзя этого делать. Это же очередной зонд от АНБ. Если покопаться кто рулит ICANN через подставные фирмы то там 100% будут торчат уши АНБ.
     
     
  • 2.12, Аноним (12), 13:10, 24/02/2019 [^] [ответить]    [к модератору]  
  • +8 +/
    >Если покопаться
    >Если

    Что же не покопался?

     
  • 2.34, АНБ (?), 17:20, 24/02/2019 [^] [ответить]    [к модератору]  
  • +/
    зачем нам впрямую рулить полезными идиотами, если они и так все за нас и для нас делают, при минимальных управляющих воздействиях?

     
  • 2.59, Аноним (59), 07:54, 25/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Зачем же вы так палитесь, тащ майор?
     
  • 1.7, Аноним (7), 12:33, 24/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А что мешает атакующим полчив контроль за доменом на уровне регистратора или пер... весь текст скрыт [показать]
     
     
  • 2.28, Sw00p aka Jerom (?), 15:45, 24/02/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    в том то и проблема, щас призывают всех поголовно включать, а потом будут поголо... весь текст скрыт [показать]
     
     
  • 3.52, Pahanivo (ok), 23:13, 24/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Эт точно. Когда я более 15 лет назад пришел в айти все кругом дружно кричали "нужна срочна ipv6" ...
     
     
  • 4.66, Онаним (?), 09:35, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Так точно. Я всегда с этих ребят ржал, потому что очевидно было, что это поделие нормально не взлетит. И ведь спорили, с пеной у рта. До сих пор ржу и напоминаю.
     
     
  • 5.92, Аноним (92), 03:28, 26/02/2019 [^] [ответить]    [к модератору]  
  • +/
    https://www.google.com/intl/en/ipv6/statistics.html - вроде взлетает потихоньку. Больше четверти интернета уже на нём...
     
     
  • 6.98, Pahanivo (ok), 14:09, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > https://www.google.com/intl/en/ipv6/statistics.html - вроде взлетает потихоньку.
    > Больше четверти интернета уже на нём...

    Еще лез 30 - глядишь 50-60% будет.

     
  • 1.8, Аноним (7), 12:37, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всегда убираю DNSSEC при сборке, так половина дыр в BIND так или иначе связаны с кодом DNSSEC.
     
     
  • 2.9, Онаним (?), 12:39, 24/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    В рекурсивных резолверах тоже выключены проверки DNSSEC, потому что жалобы юзеров вида "аааа, у меня домен xyzzy.com через вас не резолвится" - задолбали.
     
     
  • 3.10, Онаним (?), 12:41, 24/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Юзер ведь не бежит к админам xyzzy com, которые продолбали очередной ручной апде... весь текст скрыт [показать]
     
  • 3.45, xm (ok), 21:08, 24/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Чушь.
    Наличие / отсутствие DNSSEС не влияет на само разрешение домена. Оно либо проходит, либо нет.
    DNSSEC лишь подтверждает достоверность полученных данных.
     
     
  • 4.48, пох (?), 22:17, 24/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    типичное мнение комнатного теоретика, ага ни одного слова он не понял, но зато ... весь текст скрыт [показать]
     
     
  • 5.67, Онаним (?), 09:37, 25/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Тот мусье просто не в курсе, что рекурсивный резолвер с включенным чеком сдропнет ответ, если чек не пройдёт.
     
     
  • 6.68, пох (?), 09:50, 25/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    тот мусье, я ж говорю, вообще ни слова не понял, но полез с ценным мнением - он ... весь текст скрыт [показать]
     
  • 5.78, xm (ok), 11:34, 25/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > типичное мнение комнатного теоретика, ага.

    Да-да, десятки доменов с DNSSEC и авто KSK rollover третий год без единой поблемы это, видимо, не у меня работают. Но балаболам с Опеннет виднее.

     
     
  • 6.80, пох (?), 12:40, 25/02/2019 [^] [ответить]     [к модератору]  
  • –6 +/
    десятки Проходи мимо мальчик-с-локалхостингом, проходи никому твои десятки д... весь текст скрыт [показать]
     
  • 6.90, Онаним (?), 20:38, 25/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Десятки доменов.
    По ходу хостер уровня "прихожая".
     
  • 4.61, Онаним (?), 09:29, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Што, простите?
     
     
  • 5.79, xm (ok), 11:35, 25/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Напрягитесь, подумайте, поэкспериментируйте... Я в вас верю.
     
  • 2.30, пох (?), 16:44, 24/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    обезьянки неистово кинулись минусить - они не понимают, как это, не хотеть обмаз... весь текст скрыт [показать]
     
     
  • 3.62, Онаним (?), 09:30, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Да не, ну с биндом-то всё терпимо. А вот DNSSEC - мертворождённое угрёбище.
     
     
  • 4.69, пох (?), 09:52, 25/02/2019 [^] [ответить]     [к модератору]  
  • +/
    это ты на радостях от dnssec просто забыл, например, про libxml2 - ну и про но... весь текст скрыт [показать]
     
     
  • 5.74, Аноним (74), 10:21, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    10 бинд, не, чур, чур. Но вроде поддержка 9 не прекращается, потому что понимают, что это труба
     
  • 3.85, Zulu (?), 13:49, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > вместо собственного кода

    Жги дальше.

     
     ....нить скрыта, показать (16)

  • 1.14, koblin (ok), 13:23, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    Смотришь на весь этот стек технологий (smtp, dns, ip4/6...) и как-то грустно становится, слеплено из г-на и веток...
     
     
  • 2.16, Аноним (15), 13:29, 24/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Проблема легаси... QUIC тоже её дитя
     
  • 2.19, macfaq (?), 14:04, 24/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Попробуй принять во внимание возраст этих технологий и какие ограничения/задачи стояли перед их создателями на момент проектирования.
     
  • 2.24, Аноним (24), 14:33, 24/02/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    предложите лучше вариант?
    ах да, его же нет
     
     
  • 3.41, Аноним (41), 19:44, 24/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    [sarcasm]IPX/SPX[/sarcasm]
     
     
  • 4.47, пох (?), 22:15, 24/02/2019 [^] [ответить]     [к модератору]  
  • +/
    основным недостатком протокола ipx является то, что он разработан фирмой novell... весь текст скрыт [показать]
     
  • 2.25, Аноним (25), 15:00, 24/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Не нравится, что инженерами сделаны, а не на коленке Разве что кроме smtp, тот ... весь текст скрыт [показать]
     
     
  • 3.33, пох (?), 17:18, 24/02/2019 [^] [ответить]     [к модератору]  
  • +/
    вообще-то из помянутого списка инженерами сделан только smtp и v4 Ну да, обезь... весь текст скрыт [показать]
     
     
  • 4.42, mimokrkodil (?), 20:32, 24/02/2019 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален а как должен выглядеть DNS - нe кypильщикa в смысле арх... весь текст скрыт [показать]
     
     
  • 5.46, пох (?), 22:05, 24/02/2019 [^] [ответить]     [к модератору]  
  • +/
    э ну где-то в районе обитания djbdns, полагаю, по сей день лежит статья его же... весь текст скрыт [показать]
     
     
  • 6.51, mimokrkodil (?), 23:12, 24/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    хм, доки и мануалы от этого пациента проглядываем эдак с 2001 просто инетерс... весь текст скрыт [показать]
     
  • 4.50, Ю.Т. (?), 23:01, 24/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > dns
    > все что пятнадцать лет назад писал про него djb -

    Двадцать лет. А bind живее всех живых.

     
     
  • 5.71, пох (?), 09:55, 25/02/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    так его ж каждые пять лет новые студенты с нуля переписывают, ниасиливая разобра... весь текст скрыт [показать]
     
  • 4.63, Онаним (?), 09:31, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    DNS да, тоже то ещё угрёбище, неужели нельзя было текстовым сделать... Можно бы было плодить экстеншны по самое не хочу.
     
     
  • 5.70, litrovi4 (?), 09:55, 25/02/2019 [^] [ответить]     [к модератору]  
  • +/
    упаси всевышний, про скорость можно забыть, только TLV - только hardcore http... весь текст скрыт [показать]
     
  • 5.81, пох (?), 12:43, 25/02/2019 [^] [ответить]     [к модератору]  
  • +/
    скажи спасибо что не сделали - я как представляю себе поддержку текстового прото... весь текст скрыт [показать]
     
  • 4.64, Онаним (?), 09:32, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Но самая мякотка - это ASN.1 и ASN.1-based, типа SNMP. С них меня вообще тошнит фонтаном.
     
     
  • 5.72, litrovi4 (?), 10:00, 25/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > Но самая мякотка - это ASN.1 и ASN.1-based, типа SNMP. С них меня вообще тошнит фонтаном.

    угу, типичный пример over-engenigring

     
     
  • 6.82, пох (?), 12:44, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    >> Но самая мякотка - это ASN.1 и ASN.1-based, типа SNMP. С них меня вообще тошнит фонтаном.
    > угу, типичный пример over-engenigring

    дык, itu жеж. от людей, которые изобрели x.400...

     
     ....нить скрыта, показать (18)

  • 1.43, Аноним (43), 20:42, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ломай совместимость?
     
     
  • 2.73, пох (?), 10:01, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Ломай совместимость?

    не ,с  совместимостью как раз все хорошо - поэтому и пытаются внедрять административным методом, что оно нахрен не надо пользователю.

     
  • 1.44, Аноним (44), 20:58, 24/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как же навязывают DNSSEC..
     
     
  • 2.58, Аноним (58), 07:12, 25/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Читал я читал про это DNSSEC так и не понял как это может помочь Может кто об... весь текст скрыт [показать]
     
     
  • 3.95, xm (ok), 10:46, 26/02/2019 [^] [ответить]    [к модератору]  
  • +/
    DNSSEC это цифровые подписи удостоверяющие записи. Это уже хорошо само по себе.
    Больше практической пользы лежит в базирующемся на нём DANE. К примеру, потенциально можно вообще отказаться от CA.
     
  • 2.65, Онаним (?), 09:33, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Так же, как и IPv6, будь он не ладен. Не переживайте, пройдёт ещё 30 лет, а воз будет и ныне там.
     
  • 1.54, Ivan_83 (ok), 04:29, 25/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Всегда отключаю при сборке unbound и никогда не настраиваю и не разрешаю проверки DNSSec, ибо с одной стороны это может привести к тому что какие то сайты не откроются, с другой мне нечего терять в случае полного слома днс.

    ICANN я тоже доверять не собираюсь, как и центрам сертификации - я их не знаю, у них нет обязанностей предо мной.

    Итак уже слишком много всяких ключей от интернета развелось с этим повсеместным TLS, лезущим из всех щелей, теперь вот решили ещё и тут гайки закрутить.

     
     
  • 2.86, Zulu (?), 13:54, 25/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > ICANN я тоже доверять не собираюсь, как и центрам сертификации - я их не знаю, у них нет обязанностей предо мной.

    И как это выглядит в исполнении Вани? Alternate roots?

     
     
  • 3.87, Ivan_83 (ok), 13:59, 25/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Это выглядит как: мне похер на ваши потуги, я ничего делать для перехода на TLS, DNSSec не буду.
     
  • 1.57, Аноним (55), 06:19, 25/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Одно Кольцо покорит их, одно соберет их,
    Одно их притянет и в черную цепь скует их.
     
     
  • 2.83, гугель (?), 12:44, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Одно Кольцо покорит их, одно соберет их,
    > Одно их притянет и в черную цепь скует их.

    чаво это только одно?! Мы тоже хотим свою долю!

     
     
  • 3.88, Аноним (55), 14:09, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Но если они додумаются до этого, повторяю, ущерб для них будет очень большой, если не сказать, колоссальный.
     
  • 1.84, Аноним (84), 13:19, 25/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    На текущий момент DNS-сервера с DNSSEC резолвят не все домены Видимо поэтому ... весь текст скрыт [показать]
     
  • 1.91, Аноним (91), 22:07, 25/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как на win7 то doh или dot настроить? Все сводится к замене dns сервера, но от этого секурности не появится
     
     
  • 2.93, Аноним (75), 07:28, 26/02/2019 [^] [ответить]    [к модератору]  
  • +/
    DNSCrypt 2 поддерживает DoH.
     
  • 1.94, samm (ok), 09:13, 26/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    к вопросу о полезности dnssec - если бы он был полноценно внедрен то ситуация вроде той что в презе ниже была бы невозможна

    https://pc.nanog.org/static/published/meetings/NANOG75/1892/20190219_Gavrichen

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor