Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › IETF: DNS über HTTPS ist besser als…

Incoming:

  1. Thema

Neues Thema Ansicht wechseln


  1. Incoming:

    Autor: whamster 17.07.17 - 12:17

    Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich folgende Kommentare:

    - "Das kann ja nicht funktionieren, weil..." verbunden mit 1001 use cases, an die die IETF bestimmt nicht gedacht hat (sind ja alles Laien, ne?!)
    - "Und was machen dann die ganzen alten DNS Clients?" (Das hat die IETF sicher auch nicht bedacht.)
    - "Ich werde das nie einschalten, weil..." (evtl. mit "Dieses DNS ist ja eh neumodischer Kram!")

    Bin gespannt, schießt los!

  2. Re: Incoming:

    Autor: Port80 17.07.17 - 12:25

    Eventuell noch ein :
    "Ich habe mir vor 30 Jahren ein Script geschrieben, dass DNS Informationen holt und ganz sicher nicht mehr funktionieren wird. Da ich gleichzeitig noch der Intelligente unter den Affen sowie die repräsentative Masse bin, macht das dem Großteil der Menschheit das Internet kaputt. BTX war besser!"

  3. Re: Incoming:

    Autor: ikhaya 17.07.17 - 12:38

    Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine Weile dual Betrieb geben.

  4. Re: Incoming:

    Autor: foho 17.07.17 - 12:44

    ipv6 *husthust*

  5. Re: Incoming:

    Autor: whamster 17.07.17 - 13:05

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine
    > Weile dual Betrieb geben.

    Danke für die Erklärung. /s

    Nächstes mal markiere ich den Sarkasmus deutlicher.

  6. Re: Incoming:

    Autor: kayozz 17.07.17 - 14:03

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Bin gespannt, schießt los!

    * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber vorher vom DNS abrufen müsste (Henne / EI Problem)

    * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach erfolgreicher Anmeldung darf man dann Https machen.

    Beides im Text angedeutet, aber mir fällt noch einer ein

    * Bei einer End Zu End Verschlüsselung fällt die Überwachung schwerer. Besonderns da die meisten User, die denken sie sind unbemerkt, weil sie einen Proxy nutzen, nicht wissen, dass im Standard DNS Requests nicht über den Proxy gehen (und soweit ich weiß auch nur mit Socks 5 und nicht Https Proxys)

  7. Re: Incoming:

    Autor: felix.schwarz 17.07.17 - 14:48

    kayozz schrieb:
    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Diese Hotspots sind heute schon "kaputt" und werden immer weniger akzeptiert werden, je mehr Seiten auf https-only wechseln. In Deutschland sind ja viele Seiten noch per HTTP erreichbar, das wird aber deutlich abnehmen. Damit müssen diese Hotspots sowieso anders arbeiten - unabhängig vom DNS.

  8. Re: Incoming:

    Autor: floewe 17.07.17 - 15:08

    >Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt,

    Da liegst Du AFAIK falsch.

    >https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates

  9. Re: Incoming:

    Autor: floewe 17.07.17 - 15:21

    42! ;-)

  10. Re: Incoming:

    Autor: xUser 17.07.17 - 15:26

    kayozz schrieb:
    --------------------------------------------------------------------------------

    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Das geht in Zeiten von HSTS gar nicht mehr. Stattdessen sollten Captive Portals via DHCP announced werden:
    https://tools.ietf.org/html/rfc7710

    Das klappt auch mit jedem Handy und Computer (sogar unter Linux), welche nicht älter als 5 Jahre sind oder zumindest einen halbwegs aktuellen Softwarestand haben.

  11. Re: Incoming:

    Autor: maverick1977 18.07.17 - 06:52

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich
    > folgende Kommentare

    Würden mehr Leute kritisch hinterfragen und eigene Ideen entwickeln um vermutlich bestehende Probleme zu lösen, würde es auf der Welt etwas anders aussehen. Bestes Beispiel: "Wir hätten keine Merkel mehr als Kanzlerin!"

    Es ist nie gut, einem Experten einfach so blind alles abzukaufen. Ärzte sind auch Experten. Und wie oft muss man sich ne zweite Meinung einholen um festzustellen, dass die erste Wahl des Arztes scheinbar ein Fehler war?

    Wer in der heutigen Welt einfach blind vertraut, wird schon ziemlich bald am Ende sein.

  12. Re: Incoming:

    Autor: ikhaya 21.07.17 - 10:40

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also
    > müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber
    > vorher vom DNS abrufen müsste (Henne / EI Problem)

    draft-ietf-tls-dnssec-chain-extension soll da helfen, da sendet dann der DNS Server seine signierte Zertifikatskette
    und du kannst sie mit DNSSEC auf Gültigkeit prüfen da dir ja der PublicKey des DNS Root bekannt ist.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  4. Lidl Digital, Leingarten

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 189€
  2. (u. a. Galaxy S8 für 499€ und S8+ für 579€, S7 für 359€, 65"-UHD-TV für 1.199€ und 850...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Krypto-Mining AMDs Threadripper schürft effizient Monero
  2. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet
  3. Pinnacle Ridge Asus aktualisiert Mainboard für Ryzen 2000

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  1. Microsoft: Windows on ARM ist inkompatibel zu 64-Bit-Programmen
    Microsoft
    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

    Microsoft hat die Dokumentation zu Windows on ARM veröffentlicht. Der zweite Versuch, Windows mit ARM zusammenzubringen, hat deutlich weniger Einschränkungen als Windows RT. Aber an einigen Stellen bleiben Limitierungen.

  2. Fehler bei Zwei-Faktor-Authentifizierung: Facebook will keine Benachrichtigungen per SMS schicken
    Fehler bei Zwei-Faktor-Authentifizierung
    Facebook will keine Benachrichtigungen per SMS schicken

    In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld.

  3. Europa-SPD: Milliardenfonds zum Ausbau von Elektrotankstellen gefordert
    Europa-SPD
    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

    Der Ausbreitung der Elektromobilität und Wasserstoffwirtschaft steht eine nur schwach ausgebaute Infrastruktur gegenüber, meinen die europäischen Sozialdemokraten. Sie wollen den Aufbau über einen EU-Fonds fördern. Dafür seien 24 Milliarden Euro nötig.


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39