1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › IETF: DNS über HTTPS ist besser…

Incoming:

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Incoming:

    Autor: whamster 17.07.17 - 12:17

    Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich folgende Kommentare:

    - "Das kann ja nicht funktionieren, weil..." verbunden mit 1001 use cases, an die die IETF bestimmt nicht gedacht hat (sind ja alles Laien, ne?!)
    - "Und was machen dann die ganzen alten DNS Clients?" (Das hat die IETF sicher auch nicht bedacht.)
    - "Ich werde das nie einschalten, weil..." (evtl. mit "Dieses DNS ist ja eh neumodischer Kram!")

    Bin gespannt, schießt los!

  2. Re: Incoming:

    Autor: Port80 17.07.17 - 12:25

    Eventuell noch ein :
    "Ich habe mir vor 30 Jahren ein Script geschrieben, dass DNS Informationen holt und ganz sicher nicht mehr funktionieren wird. Da ich gleichzeitig noch der Intelligente unter den Affen sowie die repräsentative Masse bin, macht das dem Großteil der Menschheit das Internet kaputt. BTX war besser!"

  3. Re: Incoming:

    Autor: ikhaya 17.07.17 - 12:38

    Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine Weile dual Betrieb geben.

  4. Re: Incoming:

    Autor: foho 17.07.17 - 12:44

    ipv6 *husthust*

  5. Re: Incoming:

    Autor: whamster 17.07.17 - 13:05

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine
    > Weile dual Betrieb geben.

    Danke für die Erklärung. /s

    Nächstes mal markiere ich den Sarkasmus deutlicher.

  6. Re: Incoming:

    Autor: kayozz 17.07.17 - 14:03

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Bin gespannt, schießt los!

    * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber vorher vom DNS abrufen müsste (Henne / EI Problem)

    * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach erfolgreicher Anmeldung darf man dann Https machen.

    Beides im Text angedeutet, aber mir fällt noch einer ein

    * Bei einer End Zu End Verschlüsselung fällt die Überwachung schwerer. Besonderns da die meisten User, die denken sie sind unbemerkt, weil sie einen Proxy nutzen, nicht wissen, dass im Standard DNS Requests nicht über den Proxy gehen (und soweit ich weiß auch nur mit Socks 5 und nicht Https Proxys)

  7. Re: Incoming:

    Autor: felix.schwarz 17.07.17 - 14:48

    kayozz schrieb:
    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Diese Hotspots sind heute schon "kaputt" und werden immer weniger akzeptiert werden, je mehr Seiten auf https-only wechseln. In Deutschland sind ja viele Seiten noch per HTTP erreichbar, das wird aber deutlich abnehmen. Damit müssen diese Hotspots sowieso anders arbeiten - unabhängig vom DNS.

  8. Re: Incoming:

    Autor: floewe 17.07.17 - 15:08

    >Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt,

    Da liegst Du AFAIK falsch.

    >https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates

  9. Re: Incoming:

    Autor: floewe 17.07.17 - 15:21

    42! ;-)

  10. Re: Incoming:

    Autor: xUser 17.07.17 - 15:26

    kayozz schrieb:
    --------------------------------------------------------------------------------

    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Das geht in Zeiten von HSTS gar nicht mehr. Stattdessen sollten Captive Portals via DHCP announced werden:
    https://tools.ietf.org/html/rfc7710

    Das klappt auch mit jedem Handy und Computer (sogar unter Linux), welche nicht älter als 5 Jahre sind oder zumindest einen halbwegs aktuellen Softwarestand haben.

  11. Re: Incoming:

    Autor: Anonymer Nutzer 18.07.17 - 06:52

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich
    > folgende Kommentare

    Würden mehr Leute kritisch hinterfragen und eigene Ideen entwickeln um vermutlich bestehende Probleme zu lösen, würde es auf der Welt etwas anders aussehen. Bestes Beispiel: "Wir hätten keine Merkel mehr als Kanzlerin!"

    Es ist nie gut, einem Experten einfach so blind alles abzukaufen. Ärzte sind auch Experten. Und wie oft muss man sich ne zweite Meinung einholen um festzustellen, dass die erste Wahl des Arztes scheinbar ein Fehler war?

    Wer in der heutigen Welt einfach blind vertraut, wird schon ziemlich bald am Ende sein.

  12. Re: Incoming:

    Autor: ikhaya 21.07.17 - 10:40

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also
    > müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber
    > vorher vom DNS abrufen müsste (Henne / EI Problem)

    draft-ietf-tls-dnssec-chain-extension soll da helfen, da sendet dann der DNS Server seine signierte Zertifikatskette
    und du kannst sie mit DNSSEC auf Gültigkeit prüfen da dir ja der PublicKey des DNS Root bekannt ist.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Applikationsentwickler (m/w/d)
    Propan Rheingas GmbH & Co. KG, Brühl
  2. SAP PP Consultant (m/w/x)
    über duerenhoff GmbH, Mannheim
  3. E-Commerce Consultant / Business Analyst (m/w/d)
    Waschbär GmbH, Freiburg im Breisgau
  4. Teamleiter Onsite Support (w/m/d)
    Bechtle Onsite Services GmbH, Neckarsulm

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 2,95€/Monat (statt 9,95€/Monat)
  2. 34,99€ (UVP 89,99€)
  3. (u. a. Tower-Gehäuse & CPU-Kühler von Raijintek)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Fake-Polizei-Anrufe: Bundesnetzagentur meldet starken Anstieg von Beschwerden
    Fake-Polizei-Anrufe
    Bundesnetzagentur meldet starken Anstieg von Beschwerden

    Seit März wachsen die Beschwerden stark an, weil Betrüger automatische Ansage von Polizei, BKA, Interpol oder Europol versenden. Dabei täuschen sie echte Telefonnummern vor.

  2. 5G: Huawei und Ericsson erfreut über Sicherheitscheck des BSI
    5G
    Huawei und Ericsson erfreut über Sicherheitscheck des BSI

    Huawei betont, dass seine Produkte bereits nach ähnlichen Kriterien wie jetzt vom BSI auditiert wurden. Auch Ericsson will voll kooperieren.

  3. 5G: Mobilfunkstationen sollen an Strommasten hängen
    5G
    Mobilfunkstationen sollen an Strommasten hängen

    Strommasten könnten dabei helfen, neue 5G-Mobilfunkstationen zu bauen, ebenso wie Straßenlaternen oder Litfaßsäulen. Doch das hat Tücken.


  1. 23:59

  2. 18:32

  3. 17:54

  4. 17:15

  5. 17:00

  6. 16:30

  7. 16:00

  8. 15:45