Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

+1 für DNSSEC

  1. Thema

Neues Thema Ansicht wechseln


  1. +1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 10:48

    freue mich, dass die meinung des autors nicht zu weit verbreitet ist.



    1 mal bearbeitet, zuletzt am 30.06.15 10:54 durch bjs.

  2. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 10:55

    genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

  3. Re: +1 für DNSSEC

    Autor: ikhaya 30.06.15 - 10:57

    Also mein Provider und einige andere prüfen die Abfragen, was schonmal ein Gewinn ist.
    Linux-Distributionen wie Fedora setzen auf lokale Resolver damit die Angriffsfläche geringer wird auf DNS(SEC).

    Ich denke dass reihenweise Serverschränke eine maßlose Übertreibung ist, oder hat man das wirklich mal sauber ausgetestet und berechnet?

  4. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 11:02

    ich habe nicht reihenweise geschrieben, aber einen schrank kriegt man wohl voll, ja.

  5. Re: +1 für DNSSEC

    Autor: k8n 30.06.15 - 11:04

    > genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

    Die Signierung erfolgt einmalig (bei Änderung der Einträge) nicht bei jedem Request.
    Und die Signierung selbst großer Zonen ist in ein paar Sekunden erledigt.
    Da dauert der Zone-Transfer an sich länger.



    1 mal bearbeitet, zuletzt am 30.06.15 11:05 durch k8n.

  6. Re: +1 für DNSSEC

    Autor: hannob (golem.de) 30.06.15 - 11:08

    Es muss sich ganz sicher niemand neue Server kaufen um DNSSEC zu implementieren. Es gibt viele Gründe gegen DNSSEC, Performance ist keiner.

    Es ist leider ein schwer auszurottender Mythos dass Kryptographie viel Rechenleistung kostet. Es gibt wirklich nur sehr, sehr wenige Situationen, in denen das ein Problem ist.

  7. -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:13

    - DoS-Attacken werden leichter.
    - Vertrauenskette ist leicht angreifbar
    - DNSSEC Walking
    - Wird ohnehin kaum eingesetzt

  8. Re: -1 für DNSSEC

    Autor: ikhaya 30.06.15 - 12:27

    Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist wesentlich vertrauenswürdiger als 500+ CAs weltweit die als vertrauenswürdig im Browser markiert sind.

    Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.
    Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon geschraubt.

    Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist keines.
    Irgendwer muss damit anfangen vor allen anderen.

  9. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:37

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    Und wie genau, wenn die Serverlast nunmal einfach höher ist?

    > "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key
    > auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    > Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist
    > wesentlich vertrauenswürdiger als 500+ CAs weltweit die als
    > vertrauenswürdig im Browser markiert sind.

    Wäre ja nicht das erste mal, dass als "vertrauenswürdig" eingestufte Zertifikate gar nicht mal so vertrauenswürdig sind. Die Schlüssel liegen auf den Servern. Und das ist immer ein Schwachpunkt.

    > Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.

    Zwischen "sollte" und "muss man leider haben" besteht ein großer Unterschied.

    > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > geschraubt.

    Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    > Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist
    > keines. Irgendwer muss damit anfangen vor allen anderen.

    Nur wird sich niemand die Mühe machen, wenn man dann am Ende der Einzige ist.

  10. Re: -1 für DNSSEC

    Autor: k8n 30.06.15 - 12:47

    > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > geschraubt.
    >
    > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also dein Argument?

  11. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 15:28

    k8n schrieb:
    --------------------------------------------------------------------------------
    > > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > > geschraubt.
    > >
    > > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.
    >
    > Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also
    > dein Argument?

    Das Argument ist, dass a) wenig DNSSEC eingesetzt wird und b) leider allzuoft (gerade in der IT!) die Unvernunft regiert.
    Was also ist DEIN Argument?

  12. Re: -1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 15:42

    @der_wahre_hannes
    das sind jetzt argumente dafür, dass dnssec minderwertig ist?

  13. Re: -1 für DNSSEC

    Autor: M.P. 30.06.15 - 16:41

    Hmm,
    ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-)
    oder wäre ... angesprochen worden (für die Agnostiker)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Haufe Group, Freiburg
  2. Bosch Gruppe, Stuttgart
  3. abilex GmbH, Stuttgart
  4. ACP IT Solutions AG, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 29,99€
  2. (bei PCs, Monitoren, Equipment & Co. sparen)
  3. 29,00€ inkl. Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

  1. ROG Strix Scar 2 GL704: Dünne Displayränder beim Gaming-Notebook von Asus
    ROG Strix Scar 2 GL704
    Dünne Displayränder beim Gaming-Notebook von Asus

    Das Asus ROG Strix Scar 2 GL704 ist die 17,3 Zoll große Ergänzung von Asus' konventionellen Gaming-Notebooks. Das Modell nutzt einen neuen Coffee-Lake-H-Prozessor und ein 144-Hz-Display. Die dünnen Bildschirmränder sollen das Notebook möglichst klein halten - trotz des großen Formfaktors.

  2. Internet der Dinge: Livetags machen Alltagsgegenstände smart
    Internet der Dinge
    Livetags machen Alltagsgegenstände smart

    Mit gedruckten Kupferplättchen ins Internet der Dinge: US-Forscher kleben kleine Kupferplättchen auf Gegenstände, um diesen per WLAN smarte Funktionen zu verpassen. Künftig wollen sie die Plättchen mit dem Drucker herstellen.

  3. Elliptische Kurven: Alice und Bob legen sich in die Kurve
    Elliptische Kurven
    Alice und Bob legen sich in die Kurve

    Verschlüsselungsalgorithmen auf Basis elliptischer Kurven sollen kompakte Geräte im Internet der Dinge sicherer machen. Wir erklären, wie - und wo die Grenzen liegen.


  1. 12:46

  2. 12:21

  3. 11:59

  4. 11:43

  5. 11:23

  6. 11:12

  7. 11:01

  8. 10:45