1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Verschlüsseltes DNS: IETF uneins über…

Das war absehbar...

  1. Thema

Neues Thema Ansicht wechseln


  1. Das war absehbar...

    Autor: Der Agent 31.07.20 - 13:31

    DNS gehört von oben nach unten durchsigniert. D.h. die TLD agiert wie eine Zertifizierungsstelle. Alles andere is eine hässliche Frickellösung...
    DNSSEC + DNS over TLS für die Tansport-Sicherheit... Das ganze ganz normal wie gehabt übers OS auflösen.
    DoH als ganzes knicken.

    Dass jede Anwendungen meint selbst für die Namensauflösung zuständing zu sein is kein DNS Problem sondern einfach Wildwuchs...

    Microsoft, Apple und google müssten einfach nur definieren, dass sie ab 2022 nur noch DNSSEC records über DNS over TLS auflösen. Dann würden die Name-Server & Domain Anbieter auch spuren... Das Problem hatten wir damals mit HTTPS -und zwar genau solange bis die Browser HTTP Seiten als unsicher markiert haben. Dann war ganz plötzlich HTTPS doch bei jedem Mini-Hoster möglich...

    Ohne den Druck von oben geht's leider nicht.

  2. Re: Das war absehbar...

    Autor: HeroFeat 31.07.20 - 14:39

    Noch nicht mal Google setzt DNSSEC auf den eigenen Seiten ein. Im Endeffekt bringt das auch nicht so super viel und ist nur relativ viel Aufwand mit einem hohen Risiko seine Seiten unaufrufbar zu machen. Wenn man auf HTTPS und HSTS setzt, dann sollte das weitaus mehr bringen. Das ist zwar nicht das gleiche Bedrohungsszanrio, aber es sollte vor dem meisten schützen.

  3. Re: Das war absehbar...

    Autor: MarcusK 31.07.20 - 14:41

    Der Agent schrieb:
    > Dass jede Anwendungen meint selbst für die Namensauflösung zuständing zu
    > sein is kein DNS Problem sondern einfach Wildwuchs...
    das kann ich auch nicht verstehen, das es dafür Zustimmung gibt.

    > Microsoft, Apple und google müssten einfach nur definieren, dass sie ab
    > 2022 nur noch DNSSEC records über DNS over TLS auflösen. Dann würden die
    > Name-Server & Domain Anbieter auch spuren... Das Problem hatten wir damals
    > mit HTTPS -und zwar genau solange bis die Browser HTTP Seiten als unsicher
    > markiert haben. Dann war ganz plötzlich HTTPS doch bei jedem Mini-Hoster
    > möglich...
    und was ist mit den ganzen Lokalen netzen?

    > Ohne den Druck von oben geht's leider nicht.
    aber nicht so, der Zwang von https in den Browser ist ja schon nervig.

    Es geht ja nur darum, das nicht jeder sehen kann, welche name ich auflöse. Dann sollen sie sie jeden überlassen, ob er das will oder nicht. Also einfach eine Option im BS wo man die Server einträgt wenn man es will oder halt nicht.

  4. Re: Das war absehbar...

    Autor: Der Agent 31.07.20 - 14:47

    Das Absichern von DNS bringt relativ wenig... nur was man da momentan fabriziert ist mE die falsche Richtung. Entweder vernünftig oder garnicht... aber noch ein Protokoll für DNS (DoH) und ein Protokoll zum Auffinden für DoH Server ist, mit Verlaub, Schwachsinn. Entweder man lässt es beiben oder halt "DNS 2.0" als forcierten Standard mit DNSSEC und DNSoverTLS.

  5. Re: Das war absehbar...

    Autor: Der Agent 31.07.20 - 15:00

    DNSoverTLS in lokalen Netzen is nicht rocket science...
    https://www.bentasker.co.uk/documentation/linux/470-building-a-dns-over-tls-server
    Die Sinnhaftigkeit sei danhingestellt.

    Das ganze würde ich sowieso nur auf WWW TLDs forcieren, nicht auf lokale domains (.d.h. typische .local netze wären davon ohnehin ausgenommen). Über GPOs und Co könnte man es im Unternehmen immernoch forcieren wenn einem danach ist...

    Allerdings würde ich erwarten, dass der Support dafür recht schnell nativ gegebn ist, sobald es etwas an Fahrt aufnimmt... sobald das in MS Server implementiert ist, dürfte es serverseitig für die Firmen transparent ausgerollt werden. Und auf Linux Distris ist es whs noch schneller verfügbar.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)
  3. 10X Innovation GmbH & Co. KG, Berlin
  4. Web Computing GmbH, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...
  2. 7,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


    Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
    Golem on Edge
    Wo Nachbarn alles teilen - auch das Internet

    Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
    Eine Kolumne von Sebastian Grüner

    1. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
    2. Golem on Edge Homeoffice im Horrorland
    3. Anzeige Die voll digitalisierte Kaserne der Zukunft

    1. Smartphone: Google stellt das Pixel 4 ein
      Smartphone
      Google stellt das Pixel 4 ein

      Nach nicht mal einem Jahr beendet Google die Produktion des Pixel 4 und Pixel 4 XL. Noch im Herbst soll aber der Nachfolger erscheinen.

    2. Corona: Gewerkschaft sieht Schulen schlecht digital ausgestattet
      Corona
      Gewerkschaft sieht Schulen schlecht digital ausgestattet

      In vielen Bundesländern beginnt die Schule wieder, die zuständige Gewerkschaft erwartet ein Jahr mit "viel Improvisation". Grund sei die schlechte digitale Ausstattung.

    3. Nach Microsoft: Auch Twitter soll an Tiktok interessiert sein
      Nach Microsoft
      Auch Twitter soll an Tiktok interessiert sein

      Neben Microsoft soll auch Twitter überlegen, die chinesische Social-Media-App zu übernehmen - mehr finanzielle Ressourcen dürfte aber Microsoft haben.


    1. 14:11

    2. 13:37

    3. 12:56

    4. 12:01

    5. 14:06

    6. 13:41

    7. 12:48

    8. 11:51