EG>>> Штука имеет достаточно ограниченное применение в современных EG>>> условиях, если не сказать жестче - бесполезная чуть менее, EG>>> чем всегда. Всё равно нужно шифровать содержимое запросов EG>>> и не только DNS. VS>> Я думаю, от любителей подменять инфу в DNS-ответах она таки VS>> хороша, а таких любителей немало. Была бы хороша, если бы был VS>> больший процент внедрения.
EG> Во всех случаях, когда я сталкивался с любителями подменять инфу EG> в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах EG> популярных сервисов в сочетании с локальным ресолвером, EG> валидирующим ответы (в лице BIND) приводило к "не работает интернет" EG> с точки зрения клиента. Клиент в данном случае контора с поставленным EG> ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
IMHO так и задумано: любитель подменять выводится на чистую воду, а не было бы DNSSEC - подмена осталась бы незамеченной.
EG> И получается сплошная профанация - хочешь "интернета", EG> включай форвардинг DNS-запросов через провайдерский DNS явно,
IMHO не поможет, если валидацию не отключить при этом.
EG> а не через mitm. Hу или туннелируй DNS через VPN.
Ну а что делать, если завёлся "перехватчик" и уйти на другого провайдера нельзя.
EG> И чего хорошего тут в DNSSEC? В обоих случаях его приходится EG> убирать с дороги.
Не DNSSEC тут нужно убирать с дороги, а любителя mitm. Потому что доверия к такому провайдеру уже нет, кто знает что он тебе подсунет в DNS-ответах.
