Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › IETF: DNS über HTTPS ist besser als…

Incoming:

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Incoming:

    Autor: whamster 17.07.17 - 12:17

    Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich folgende Kommentare:

    - "Das kann ja nicht funktionieren, weil..." verbunden mit 1001 use cases, an die die IETF bestimmt nicht gedacht hat (sind ja alles Laien, ne?!)
    - "Und was machen dann die ganzen alten DNS Clients?" (Das hat die IETF sicher auch nicht bedacht.)
    - "Ich werde das nie einschalten, weil..." (evtl. mit "Dieses DNS ist ja eh neumodischer Kram!")

    Bin gespannt, schießt los!

  2. Re: Incoming:

    Autor: Port80 17.07.17 - 12:25

    Eventuell noch ein :
    "Ich habe mir vor 30 Jahren ein Script geschrieben, dass DNS Informationen holt und ganz sicher nicht mehr funktionieren wird. Da ich gleichzeitig noch der Intelligente unter den Affen sowie die repräsentative Masse bin, macht das dem Großteil der Menschheit das Internet kaputt. BTX war besser!"

  3. Re: Incoming:

    Autor: ikhaya 17.07.17 - 12:38

    Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine Weile dual Betrieb geben.

  4. Re: Incoming:

    Autor: foho 17.07.17 - 12:44

    ipv6 *husthust*

  5. Re: Incoming:

    Autor: whamster 17.07.17 - 13:05

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Neue Optionen lösen alte Verfahren nicht schlagartig ab, es wirtd eine
    > Weile dual Betrieb geben.

    Danke für die Erklärung. /s

    Nächstes mal markiere ich den Sarkasmus deutlicher.

  6. Re: Incoming:

    Autor: kayozz 17.07.17 - 14:03

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Bin gespannt, schießt los!

    * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber vorher vom DNS abrufen müsste (Henne / EI Problem)

    * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach erfolgreicher Anmeldung darf man dann Https machen.

    Beides im Text angedeutet, aber mir fällt noch einer ein

    * Bei einer End Zu End Verschlüsselung fällt die Überwachung schwerer. Besonderns da die meisten User, die denken sie sind unbemerkt, weil sie einen Proxy nutzen, nicht wissen, dass im Standard DNS Requests nicht über den Proxy gehen (und soweit ich weiß auch nur mit Socks 5 und nicht Https Proxys)

  7. Re: Incoming:

    Autor: felix.schwarz 17.07.17 - 14:48

    kayozz schrieb:
    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Diese Hotspots sind heute schon "kaputt" und werden immer weniger akzeptiert werden, je mehr Seiten auf https-only wechseln. In Deutschland sind ja viele Seiten noch per HTTP erreichbar, das wird aber deutlich abnehmen. Damit müssen diese Hotspots sowieso anders arbeiten - unabhängig vom DNS.

  8. Re: Incoming:

    Autor: floewe 17.07.17 - 15:08

    >Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt,

    Da liegst Du AFAIK falsch.

    >https://support.globalsign.com/customer/portal/articles/1216536-securing-a-public-ip-address---ssl-certificates

  9. Re: Incoming:

    Autor: floewe 17.07.17 - 15:21

    42! ;-)

  10. Re: Incoming:

    Autor: xUser 17.07.17 - 15:26

    kayozz schrieb:
    --------------------------------------------------------------------------------

    > * Viele Hotspots funktionieren nach dem Prinzip, dass erstmal nur DNS
    > Anfragen zugelassen sind, damit die nächste Website, die man ansurfen will
    > abgefangen wird und man auf ein Loginportal weitergeleitet wird. Erst nach
    > erfolgreicher Anmeldung darf man dann Https machen.

    Das geht in Zeiten von HSTS gar nicht mehr. Stattdessen sollten Captive Portals via DHCP announced werden:
    https://tools.ietf.org/html/rfc7710

    Das klappt auch mit jedem Handy und Computer (sogar unter Linux), welche nicht älter als 5 Jahre sind oder zumindest einen halbwegs aktuellen Softwarestand haben.

  11. Re: Incoming:

    Autor: maverick1977 18.07.17 - 06:52

    whamster schrieb:
    --------------------------------------------------------------------------------
    > Hier wird ja gerne über ungelegte Eier gegackert, daher erwarte ich
    > folgende Kommentare

    Würden mehr Leute kritisch hinterfragen und eigene Ideen entwickeln um vermutlich bestehende Probleme zu lösen, würde es auf der Welt etwas anders aussehen. Bestes Beispiel: "Wir hätten keine Merkel mehr als Kanzlerin!"

    Es ist nie gut, einem Experten einfach so blind alles abzukaufen. Ärzte sind auch Experten. Und wie oft muss man sich ne zweite Meinung einholen um festzustellen, dass die erste Wahl des Arztes scheinbar ein Fehler war?

    Wer in der heutigen Welt einfach blind vertraut, wird schon ziemlich bald am Ende sein.

  12. Re: Incoming:

    Autor: ikhaya 21.07.17 - 10:40

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > * Eine IP als Common Name in einem Zertifikat ist AFAIK nicht erlaubt, also
    > müsste ich mich per DNS Namen mit dem DNS Server verbinden, den ich aber
    > vorher vom DNS abrufen müsste (Henne / EI Problem)

    draft-ietf-tls-dnssec-chain-extension soll da helfen, da sendet dann der DNS Server seine signierte Zertifikatskette
    und du kannst sie mit DNSSEC auf Gültigkeit prüfen da dir ja der PublicKey des DNS Root bekannt ist.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Knauf Gips KG, Iphofen (Raum Würzburg)
  2. AKDB, München
  3. Deutsche Edelstahlwerke GmbH, Witten
  4. ETAS GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,99€
  2. 23,99€
  3. 15,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

  1. Terrorismusbekämpfung: Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten
    Terrorismusbekämpfung
    Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten

    Weil es keine ausreichenden Schutzmechanismen für besonders schützenswerte Daten gibt, hat der Europäische Gerichtshof (EUGH) das Abkommen über den Austausch von Fluggastdaten für nicht mit den Grundrechten vereinbar erklärt.

  2. Makeblock Airblock im Test: Es regnet Drohnenmodule
    Makeblock Airblock im Test
    Es regnet Drohnenmodule

    Mit einem Knall zerschellt die Airblock an Hindernissen. Dann prasseln die sieben Teile zu Boden. Die Drohne kann beliebig wieder zusammengebaut und selbst programmiert werden: als Hovercraft, Schnellboot oder Fluggerät. Der Kreativität sind nur einige Grenzen gesetzt.

  3. Tri Alpha Energy: Google entwickelt Algorithmus für die Fusionsforschung
    Tri Alpha Energy
    Google entwickelt Algorithmus für die Fusionsforschung

    Weniger Energieverlust, höhere Plasmaenergie: Entwickler von Google haben zusammen mit dem Unternehmen Tri Alpha Energy einen Algorithmus für die Plasmaforschung geschaffen. Er soll die Kernfusion voranbringen.


  1. 12:30

  2. 12:03

  3. 12:00

  4. 11:55

  5. 11:32

  6. 11:00

  7. 10:30

  8. 10:18