Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › IETF: DNS über HTTPS ist besser als…

Incoming:

  1. Thema

Neues Thema Ansicht wechseln


  1. Incoming:

    Autor: whamster 17.07.17 - 12:17

    Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich folgende Kommentare:

    - "Das kann ja nicht funktionieren, weil..." verbunden mit 1001 use cases, an die die IETF bestimmt nicht gedacht hat (sind ja alles Laien, ne?!)
    - "Und was machen dann die ganzen alten DNS Clients?" (Das hat die IETF sicher auch nicht bedacht.)
    - "Ich werde das nie einschalten, weil..." (evtl. mit "Dieses DNS ist ja eh neumodischer Kram!")

    Bin gespannt, schießt los!

  2. Re: Incoming:

    Autor: Port80 17.07.17 - 12:25

    Eventuell noch ein :
    "Ich habe mir vor 30 Jahren ein Script geschrieben, dass DNS Informationen holt und ganz sicher nicht mehr funktionieren wird. Da ich gleichzeitig noch der Intelligente unter den Affen sowie die repräsentative Masse bin, macht das dem Großteil der Menschheit das Internet kaputt. BTX war besser!"

  3. Re: Incoming:

    Autor: ikhaya 17.07.17 - 12:38

    Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine Weile dual Betrieb geben.

  4. Re: Incoming:

    Autor: foho 17.07.17 - 12:44

    ipv6 *husthust*

  5. Re: Incoming:

    Autor: whamster 17.07.17 - 13:05

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine
    > Weile dual Betrieb geben.

    Danke für die Erklärung. /s

    Nächstes mal markiere ich den Sarkasmus deutlicher.

  6. Re: Incoming:

    Autor: kayozz 17.07.17 - 14:03

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Bin gespannt, schießt los!

    * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber vorher vom DNS abrufen müsste (Henne / EI Problem)

    * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach erfolgreicher Anmeldung darf man dann Https machen.

    Beides im Text angedeutet, aber mir fällt noch einer ein

    * Bei einer End Zu End Verschlüsselung fällt die Überwachung schwerer. Besonderns da die meisten User, die denken sie sind unbemerkt, weil sie einen Proxy nutzen, nicht wissen, dass im Standard DNS Requests nicht über den Proxy gehen (und soweit ich weiß auch nur mit Socks 5 und nicht Https Proxys)

  7. Re: Incoming:

    Autor: felix.schwarz 17.07.17 - 14:48

    kayozz schrieb:
    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Diese Hotspots sind heute schon "kaputt" und werden immer weniger akzeptiert werden, je mehr Seiten auf https-only wechseln. In Deutschland sind ja viele Seiten noch per HTTP erreichbar, das wird aber deutlich abnehmen. Damit müssen diese Hotspots sowieso anders arbeiten - unabhängig vom DNS.

  8. Re: Incoming:

    Autor: floewe 17.07.17 - 15:08

    >Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt,

    Da liegst Du AFAIK falsch.

    >https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates

  9. Re: Incoming:

    Autor: floewe 17.07.17 - 15:21

    42! ;-)

  10. Re: Incoming:

    Autor: xUser 17.07.17 - 15:26

    kayozz schrieb:
    --------------------------------------------------------------------------------

    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Das geht in Zeiten von HSTS gar nicht mehr. Stattdessen sollten Captive Portals via DHCP announced werden:
    https://tools.ietf.org/html/rfc7710

    Das klappt auch mit jedem Handy und Computer (sogar unter Linux), welche nicht älter als 5 Jahre sind oder zumindest einen halbwegs aktuellen Softwarestand haben.

  11. Re: Incoming:

    Autor: maverick1977 18.07.17 - 06:52

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich
    > folgende Kommentare

    Würden mehr Leute kritisch hinterfragen und eigene Ideen entwickeln um vermutlich bestehende Probleme zu lösen, würde es auf der Welt etwas anders aussehen. Bestes Beispiel: "Wir hätten keine Merkel mehr als Kanzlerin!"

    Es ist nie gut, einem Experten einfach so blind alles abzukaufen. Ärzte sind auch Experten. Und wie oft muss man sich ne zweite Meinung einholen um festzustellen, dass die erste Wahl des Arztes scheinbar ein Fehler war?

    Wer in der heutigen Welt einfach blind vertraut, wird schon ziemlich bald am Ende sein.

  12. Re: Incoming:

    Autor: ikhaya 21.07.17 - 10:40

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also
    > müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber
    > vorher vom DNS abrufen müsste (Henne / EI Problem)

    draft-ietf-tls-dnssec-chain-extension soll da helfen, da sendet dann der DNS Server seine signierte Zertifikatskette
    und du kannst sie mit DNSSEC auf Gültigkeit prüfen da dir ja der PublicKey des DNS Root bekannt ist.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Auvesy GmbH, Landau in der Pfalz
  2. Deutsche Schillergesellschaft e.V., Marbach am Neckar
  3. MediaMarktSaturn Deutschland, Ingolstadt
  4. Pilz GmbH & Co. KG, Ostfildern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 4,25€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

  1. Video on Demand: RTL will Netflix und Amazon Prime Video angreifen
    Video on Demand
    RTL will Netflix und Amazon Prime Video angreifen

    Die junge Generation kann sich angeblich oft nur 10 bis 15 Minuten konzentrieren. Für sie will RTL anspruchsvolle kurze Inhalte als Streaming anbieten.

  2. Vor Abstimmung: Demos gegen Leistungsschutzrecht und Uploadfilter
    Vor Abstimmung
    Demos gegen Leistungsschutzrecht und Uploadfilter

    Der Protest wandert vom Netz auf die Straße: Auf einer Demo gegen das Leistungsschutzrecht und Uploadfilter forderten der IT-Verband Bitkom, der Verein Digitalcourage und mehrere Parteien einen Stopp der Pläne.

  3. T-Systems: Konnektor für E-Gesundheitskarte zugelassen
    T-Systems
    Konnektor für E-Gesundheitskarte zugelassen

    Das jahrelang verspätete Projekt der elektronischen Gesundheitskarte könnte doch noch starten. Das Zugangsgerät von T-Systems wurde endlich zugelassen.


  1. 19:16

  2. 16:12

  3. 13:21

  4. 11:49

  5. 11:59

  6. 11:33

  7. 10:59

  8. 10:22