Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › IETF: DNS über HTTPS ist besser als…

Incoming:

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Incoming:

    Autor: whamster 17.07.17 - 12:17

    Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich folgende Kommentare:

    - "Das kann ja nicht funktionieren, weil..." verbunden mit 1001 use cases, an die die IETF bestimmt nicht gedacht hat (sind ja alles Laien, ne?!)
    - "Und was machen dann die ganzen alten DNS Clients?" (Das hat die IETF sicher auch nicht bedacht.)
    - "Ich werde das nie einschalten, weil..." (evtl. mit "Dieses DNS ist ja eh neumodischer Kram!")

    Bin gespannt, schießt los!

  2. Re: Incoming:

    Autor: Port80 17.07.17 - 12:25

    Eventuell noch ein :
    "Ich habe mir vor 30 Jahren ein Script geschrieben, dass DNS Informationen holt und ganz sicher nicht mehr funktionieren wird. Da ich gleichzeitig noch der Intelligente unter den Affen sowie die repräsentative Masse bin, macht das dem Großteil der Menschheit das Internet kaputt. BTX war besser!"

  3. Re: Incoming:

    Autor: ikhaya 17.07.17 - 12:38

    Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine Weile dual Betrieb geben.

  4. Re: Incoming:

    Autor: foho 17.07.17 - 12:44

    ipv6 *husthust*

  5. Re: Incoming:

    Autor: whamster 17.07.17 - 13:05

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine
    > Weile dual Betrieb geben.

    Danke für die Erklärung. /s

    Nächstes mal markiere ich den Sarkasmus deutlicher.

  6. Re: Incoming:

    Autor: kayozz 17.07.17 - 14:03

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Bin gespannt, schießt los!

    * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber vorher vom DNS abrufen müsste (Henne / EI Problem)

    * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach erfolgreicher Anmeldung darf man dann Https machen.

    Beides im Text angedeutet, aber mir fällt noch einer ein

    * Bei einer End Zu End Verschlüsselung fällt die Überwachung schwerer. Besonderns da die meisten User, die denken sie sind unbemerkt, weil sie einen Proxy nutzen, nicht wissen, dass im Standard DNS Requests nicht über den Proxy gehen (und soweit ich weiß auch nur mit Socks 5 und nicht Https Proxys)

  7. Re: Incoming:

    Autor: felix.schwarz 17.07.17 - 14:48

    kayozz schrieb:
    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Diese Hotspots sind heute schon "kaputt" und werden immer weniger akzeptiert werden, je mehr Seiten auf https-only wechseln. In Deutschland sind ja viele Seiten noch per HTTP erreichbar, das wird aber deutlich abnehmen. Damit müssen diese Hotspots sowieso anders arbeiten - unabhängig vom DNS.

  8. Re: Incoming:

    Autor: floewe 17.07.17 - 15:08

    >Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt,

    Da liegst Du AFAIK falsch.

    >https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates

  9. Re: Incoming:

    Autor: floewe 17.07.17 - 15:21

    42! ;-)

  10. Re: Incoming:

    Autor: xUser 17.07.17 - 15:26

    kayozz schrieb:
    --------------------------------------------------------------------------------

    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Das geht in Zeiten von HSTS gar nicht mehr. Stattdessen sollten Captive Portals via DHCP announced werden:
    https://tools.ietf.org/html/rfc7710

    Das klappt auch mit jedem Handy und Computer (sogar unter Linux), welche nicht älter als 5 Jahre sind oder zumindest einen halbwegs aktuellen Softwarestand haben.

  11. Re: Incoming:

    Autor: maverick1977 18.07.17 - 06:52

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich
    > folgende Kommentare

    Würden mehr Leute kritisch hinterfragen und eigene Ideen entwickeln um vermutlich bestehende Probleme zu lösen, würde es auf der Welt etwas anders aussehen. Bestes Beispiel: "Wir hätten keine Merkel mehr als Kanzlerin!"

    Es ist nie gut, einem Experten einfach so blind alles abzukaufen. Ärzte sind auch Experten. Und wie oft muss man sich ne zweite Meinung einholen um festzustellen, dass die erste Wahl des Arztes scheinbar ein Fehler war?

    Wer in der heutigen Welt einfach blind vertraut, wird schon ziemlich bald am Ende sein.

  12. Re: Incoming:

    Autor: ikhaya 21.07.17 - 10:40

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also
    > müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber
    > vorher vom DNS abrufen müsste (Henne / EI Problem)

    draft-ietf-tls-dnssec-chain-extension soll da helfen, da sendet dann der DNS Server seine signierte Zertifikatskette
    und du kannst sie mit DNSSEC auf Gültigkeit prüfen da dir ja der PublicKey des DNS Root bekannt ist.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Landeshauptstadt München, München
  2. Deutsche Lebens-Rettungs-Gesellschaft e.V. (DLRG), Bad Nenndorf
  3. Haufe Group, Freiburg im Breisgau
  4. Bertrandt Services GmbH, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 5,00€
  2. (-22%) 46,99€
  3. (-37%) 37,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. DFKI Forscher proben robotische Planetenerkundung auf der Erde
  2. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

  1. IOS 11 und iPhone X: Das Super-Retina-Display braucht nur wenige Anpassungen
    IOS 11 und iPhone X
    Das Super-Retina-Display braucht nur wenige Anpassungen

    Das iPhone X bietet nicht nur neue Hardware. Auch der Umgang mit Apps verändert sich dank neuer Auflösung, neuem Bildformat und neuer Gesten. Wir sehen darin den wahren Grund für die Abschaffung der 32-Bit-Apps und zeigen, wie in der Vergangenheit umgestellt wurde.

  2. Polyphony Digital: GT Sport bekommt Einzelspielerliga
    Polyphony Digital
    GT Sport bekommt Einzelspielerliga

    Beim Rennspiel Gran Turismo Sport stehen Onlinerennen im Mittelpunkt - nicht jeder Spieler ist darüber glücklich. Nun kündigt Entwickler Polyphony Digital die für Singleplayer gedachte GT League und weitere offline nutzbare Inhalte an.

  3. Smartphone-Tarife: Congstar wertet Prepaid-Pakete auf
    Smartphone-Tarife
    Congstar wertet Prepaid-Pakete auf

    Congstar bietet für zwei Prepaid-Pakete ein höheres ungedrosseltes Datenvolumen ohne Aufpreis an. Anders als bei der Konkurrenz gilt weiterhin eine Laufzeit von 30 Tagen für alle Prepaid-Pakete.


  1. 11:59

  2. 11:51

  3. 11:45

  4. 11:30

  5. 11:02

  6. 10:39

  7. 10:30

  8. 10:20