Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:
AK>> абсолютно. Можешь попробовать меня убедить, что мне этот dnssec AK>> зачем-то нужен. VS> Если же посмотреть глобально, при нынешней политической ситуации VS> неплохо знать, что какой-нибудь Ростелеком подменяет тебе DNS-ответы. на корпоративном тазу ты этого не узнаешь. И что они подменяют тебе ssl-сертификаты - только если будешь очень пристально вглядываться.
А домашний таз в свете нынешней политической ситуации держать в срашке - надо лохом быть.
VS> Да и возможность публиковать SSL сертификаты в DNS, не пользуясь услугами VS> удостоверяющих центров и не ставя корневые сертификаты этих УЦ в браузер мне не нравится. Лишней ненадежностью и зависимостью от кривого сервера. Сертификаты надо ставить в браузер - с флэшки, без всяких УЦ, поштучно.
Еще бы вот с автором pale moon договориться на предмет _ручного_ сопоставления этих сертификатов серверам, никакой одноразовой галочки 'trust' - и было бы почти щастье. Почти - потому что я уже не слишком верю в надежность сертификатов.
AK>> (скока-скока эксплойтов именно dnssec'ового говна было AK>> за последние пару лет?) VS> В клиентской части? По-моему ни одного. а в какой же еще? Все именно там и были "поймав такой чудесатый dnssec запрос, наш чудо-сервер, написанный косорукими макаками, под руководством the people who brought you imapd, вываливается в кору/исполняет неведомый код/просто виснет". По-моему последние штук двадцать advisory - именно об этом и были. Я всерьез думаю отправлять при пересборке поддержку этой херни туда же, куда ipv6 и xml, а не тестировать на серверах.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)