= Сообщение: 5916 из 8277 ========================================= RU.LINUX = От : Eugene Grosbein 2:5006/1 10 Sep 19 05:44:51 Кому : Victor Sudakov 10 Sep 19 05:44:51 Тема : Re: DNSSEC FGHI : area://RU.LINUX?msgid=grosbein.net+0f839704 На : area://RU.LINUX?msgid=2:5005/49+5d766058 = Кодировка сообщения определена как: IBM866 ================================= Ответ: area://RU.LINUX?msgid=2:5005/49+5d77cfbe ============================================================================== 09 сент. 2019, понедельник, в 21:18 NOVT, Victor Sudakov написал(а):
EG>> Штука имеет достаточно ограниченное применение в современных EG>> условиях, если не сказать жестче - бесполезная чуть менее, EG>> чем всегда. Всё равно нужно шифровать содержимое запросов EG>> и не только DNS. VS> Я думаю, от любителей подменять инфу в DNS-ответах она таки хороша, а таких VS> любителей немало. Была бы хороша, если бы был больший процент внедрения.
Во всех случаях, когда я сталкивался с любителями подменять инфу в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах популярных сервисов в сочетании с локальным ресолвером, валидирующим ответы (в лице BIND) приводило к "не работает интернет" с точки зрения клиента. Клиент в данном случае контора с поставленным ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
И получается сплошная профанация - хочешь "интернета", включай форвардинг DNS-запросов через провайдерский DNS явно, а не через mitm. Hу или туннелируй DNS через VPN.
И чего хорошего тут в DNSSEC? В обоих случаях его приходится убирать с дороги.
Eugene -- Комбинация заискивания, подкупа и устрашения заставит молодого ученого работать над управляемыми снарядами или атомной бомбой. (Hорберт Винер) --- slrn/1.0.3 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)