Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

+1 für DNSSEC

  1. Thema

Neues Thema Ansicht wechseln


  1. +1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 10:48

    freue mich, dass die meinung des autors nicht zu weit verbreitet ist.



    1 mal bearbeitet, zuletzt am 30.06.15 10:54 durch bjs.

  2. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 10:55

    genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

  3. Re: +1 für DNSSEC

    Autor: ikhaya 30.06.15 - 10:57

    Also mein Provider und einige andere prüfen die Abfragen, was schonmal ein Gewinn ist.
    Linux-Distributionen wie Fedora setzen auf lokale Resolver damit die Angriffsfläche geringer wird auf DNS(SEC).

    Ich denke dass reihenweise Serverschränke eine maßlose Übertreibung ist, oder hat man das wirklich mal sauber ausgetestet und berechnet?

  4. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 11:02

    ich habe nicht reihenweise geschrieben, aber einen schrank kriegt man wohl voll, ja.

  5. Re: +1 für DNSSEC

    Autor: k8n 30.06.15 - 11:04

    > genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

    Die Signierung erfolgt einmalig (bei Änderung der Einträge) nicht bei jedem Request.
    Und die Signierung selbst großer Zonen ist in ein paar Sekunden erledigt.
    Da dauert der Zone-Transfer an sich länger.



    1 mal bearbeitet, zuletzt am 30.06.15 11:05 durch k8n.

  6. Re: +1 für DNSSEC

    Autor: hannob (golem.de) 30.06.15 - 11:08

    Es muss sich ganz sicher niemand neue Server kaufen um DNSSEC zu implementieren. Es gibt viele Gründe gegen DNSSEC, Performance ist keiner.

    Es ist leider ein schwer auszurottender Mythos dass Kryptographie viel Rechenleistung kostet. Es gibt wirklich nur sehr, sehr wenige Situationen, in denen das ein Problem ist.

  7. -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:13

    - DoS-Attacken werden leichter.
    - Vertrauenskette ist leicht angreifbar
    - DNSSEC Walking
    - Wird ohnehin kaum eingesetzt

  8. Re: -1 für DNSSEC

    Autor: ikhaya 30.06.15 - 12:27

    Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist wesentlich vertrauenswürdiger als 500+ CAs weltweit die als vertrauenswürdig im Browser markiert sind.

    Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.
    Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon geschraubt.

    Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist keines.
    Irgendwer muss damit anfangen vor allen anderen.

  9. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:37

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    Und wie genau, wenn die Serverlast nunmal einfach höher ist?

    > "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key
    > auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    > Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist
    > wesentlich vertrauenswürdiger als 500+ CAs weltweit die als
    > vertrauenswürdig im Browser markiert sind.

    Wäre ja nicht das erste mal, dass als "vertrauenswürdig" eingestufte Zertifikate gar nicht mal so vertrauenswürdig sind. Die Schlüssel liegen auf den Servern. Und das ist immer ein Schwachpunkt.

    > Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.

    Zwischen "sollte" und "muss man leider haben" besteht ein großer Unterschied.

    > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > geschraubt.

    Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    > Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist
    > keines. Irgendwer muss damit anfangen vor allen anderen.

    Nur wird sich niemand die Mühe machen, wenn man dann am Ende der Einzige ist.

  10. Re: -1 für DNSSEC

    Autor: k8n 30.06.15 - 12:47

    > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > geschraubt.
    >
    > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also dein Argument?

  11. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 15:28

    k8n schrieb:
    --------------------------------------------------------------------------------
    > > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > > geschraubt.
    > >
    > > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.
    >
    > Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also
    > dein Argument?

    Das Argument ist, dass a) wenig DNSSEC eingesetzt wird und b) leider allzuoft (gerade in der IT!) die Unvernunft regiert.
    Was also ist DEIN Argument?

  12. Re: -1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 15:42

    @der_wahre_hannes
    das sind jetzt argumente dafür, dass dnssec minderwertig ist?

  13. Re: -1 für DNSSEC

    Autor: M.P. 30.06.15 - 16:41

    Hmm,
    ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-)
    oder wäre ... angesprochen worden (für die Agnostiker)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. REWAG Regensburger Energie- und Wasserversorgung AG & Co. KG, Regensburg
  2. Stadt Titisee-Neustadt, Titisee-Neustadt
  3. ADAC e.V., München
  4. Froneri Ice Cream Deutschland GmbH, Osnabrück

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Ni No Kuni 2 29,99€, Dark Souls 3 25,49€)
  2. 199,00€
  3. Code 100SGS3
  4. (u. a. Sicario, Bodyguard, Inception)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Next Generation Car: Das Fahrzeug der Zukunft ist modular
Next Generation Car
Das Fahrzeug der Zukunft ist modular

Ein Fahrzeug braucht eine Kabine und einen Antrieb. Müssen aber beide eine fest verbundene Einheit sein? Forscher des DLR arbeiten an verschiedenen Konzepten für das Auto der Zukunft. Eines davon ist ein modulares Fahrzeug, das für verschiedene Zwecke eingesetzt werden kann.
Von Werner Pluta

  1. DLR Phylax erkennt Sprengstoffreste per Laser
  2. Raumfahrt DLR testet 3D-gedrucktes Raketentriebwerk
  3. Eden ISS Raumfahrt-Salat für Antarktis-Bewohner

Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
Microsoft
Die ganz normale, lautlose Cloud-Apokalypse

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

  1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
  2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
  3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

  1. Duopol: Verbände warnen vor Kauf von Unitymedia durch Vodafone
    Duopol
    Verbände warnen vor Kauf von Unitymedia durch Vodafone

    Ein Duopol von Telekom und Vodafone/Unitymedia würde vermeintlich dazu führen, dass die beiden weiterhin ihre alten Bestandsnetze nutzen, statt Glasfaser auszubauen. Eine Entscheidung der EU-Kommission wird bald erwartet.

  2. Agbresa: DLR steckt Probanden für Weltraumgesundheit ins Bett
    Agbresa
    DLR steckt Probanden für Weltraumgesundheit ins Bett

    Das DLR, die Esa und die Nasa starten gemeinsam eine Studie zur Weltraumgesundheit: Probanden legen sich für zwei Monate ins Bett. Mit einer Zentrifuge wollen die Forscher künstlich Schwerkraft erzeugen, die die Knochen und Muskelschwund verringern soll.

  3. Wintun: Wireguard-Entwickler bauen freien TUN-Treiber für Windows
    Wintun
    Wireguard-Entwickler bauen freien TUN-Treiber für Windows

    Um die VPN-Technik von Wireguard auf Windows zu bringen, erstellt das Team einen neuen und modernen TUN-Treiber für Windows. Der virtuelle Netzwerktunnel soll generisch genug sein, um auch von anderen Projekten wie OpenVPN genutzt zu werden.


  1. 13:41

  2. 13:31

  3. 13:16

  4. 12:02

  5. 11:55

  6. 11:45

  7. 11:33

  8. 11:18