1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

+1 für DNSSEC

  1. Thema

Neues Thema Ansicht wechseln


  1. +1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 10:48

    freue mich, dass die meinung des autors nicht zu weit verbreitet ist.



    1 mal bearbeitet, zuletzt am 30.06.15 10:54 durch bjs.

  2. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 10:55

    genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

  3. Re: +1 für DNSSEC

    Autor: ikhaya 30.06.15 - 10:57

    Also mein Provider und einige andere prüfen die Abfragen, was schonmal ein Gewinn ist.
    Linux-Distributionen wie Fedora setzen auf lokale Resolver damit die Angriffsfläche geringer wird auf DNS(SEC).

    Ich denke dass reihenweise Serverschränke eine maßlose Übertreibung ist, oder hat man das wirklich mal sauber ausgetestet und berechnet?

  4. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 11:02

    ich habe nicht reihenweise geschrieben, aber einen schrank kriegt man wohl voll, ja.

  5. Re: +1 für DNSSEC

    Autor: k8n 30.06.15 - 11:04

    > genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

    Die Signierung erfolgt einmalig (bei Änderung der Einträge) nicht bei jedem Request.
    Und die Signierung selbst großer Zonen ist in ein paar Sekunden erledigt.
    Da dauert der Zone-Transfer an sich länger.



    1 mal bearbeitet, zuletzt am 30.06.15 11:05 durch k8n.

  6. Re: +1 für DNSSEC

    Autor: hannob (golem.de) 30.06.15 - 11:08

    Es muss sich ganz sicher niemand neue Server kaufen um DNSSEC zu implementieren. Es gibt viele Gründe gegen DNSSEC, Performance ist keiner.

    Es ist leider ein schwer auszurottender Mythos dass Kryptographie viel Rechenleistung kostet. Es gibt wirklich nur sehr, sehr wenige Situationen, in denen das ein Problem ist.

  7. -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:13

    - DoS-Attacken werden leichter.
    - Vertrauenskette ist leicht angreifbar
    - DNSSEC Walking
    - Wird ohnehin kaum eingesetzt

  8. Re: -1 für DNSSEC

    Autor: ikhaya 30.06.15 - 12:27

    Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist wesentlich vertrauenswürdiger als 500+ CAs weltweit die als vertrauenswürdig im Browser markiert sind.

    Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.
    Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon geschraubt.

    Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist keines.
    Irgendwer muss damit anfangen vor allen anderen.

  9. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:37

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    Und wie genau, wenn die Serverlast nunmal einfach höher ist?

    > "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key
    > auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    > Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist
    > wesentlich vertrauenswürdiger als 500+ CAs weltweit die als
    > vertrauenswürdig im Browser markiert sind.

    Wäre ja nicht das erste mal, dass als "vertrauenswürdig" eingestufte Zertifikate gar nicht mal so vertrauenswürdig sind. Die Schlüssel liegen auf den Servern. Und das ist immer ein Schwachpunkt.

    > Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.

    Zwischen "sollte" und "muss man leider haben" besteht ein großer Unterschied.

    > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > geschraubt.

    Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    > Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist
    > keines. Irgendwer muss damit anfangen vor allen anderen.

    Nur wird sich niemand die Mühe machen, wenn man dann am Ende der Einzige ist.

  10. Re: -1 für DNSSEC

    Autor: k8n 30.06.15 - 12:47

    > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > geschraubt.
    >
    > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also dein Argument?

  11. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 15:28

    k8n schrieb:
    --------------------------------------------------------------------------------
    > > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > > geschraubt.
    > >
    > > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.
    >
    > Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also
    > dein Argument?

    Das Argument ist, dass a) wenig DNSSEC eingesetzt wird und b) leider allzuoft (gerade in der IT!) die Unvernunft regiert.
    Was also ist DEIN Argument?

  12. Re: -1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 15:42

    @der_wahre_hannes
    das sind jetzt argumente dafür, dass dnssec minderwertig ist?

  13. Re: -1 für DNSSEC

    Autor: M.P. 30.06.15 - 16:41

    Hmm,
    ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-)
    oder wäre ... angesprochen worden (für die Agnostiker)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. ZIEHL-ABEGG SE, Künzelsau
  3. IDS GmbH, Region Nord-/Ostdeutschland
  4. Stadt Essen, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. HP Pavilion 32 Zoll Monitor für 229,00€, Steelseries Arctis Pro wireless Headset für 279...
  2. ab 62,99€
  3. (aktuell u. a. HyperX Alloy Elite RGB Tastatur für 109,90€, Netgear EX7700 Nighthawk X6 Repeater)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
    Surface Laptop 3 (15 Zoll) im Test
    Das 15-Zoll-Macbook mit Windows 10 und Ryzen

    Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
    Ein Test von Oliver Nickel

    1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

    1. Scheuer: Steuergelder sollen 5.000 weiße Flecken schließen
      Scheuer
      Steuergelder sollen 5.000 weiße Flecken schließen

      Die Bundesregierung will den Mobilfunkausbau vereinfachen und 1,1 Milliarden Euro für die Schließung weißer Flecken ausgeben. Doch bis wann die Mobilfunkstrategie umgesetzt sein soll, ist völlig unklar.

    2. E-Privacy-Verordnung: Medien sollen Tracking-Erlaubnis bekommen
      E-Privacy-Verordnung
      Medien sollen Tracking-Erlaubnis bekommen

      In die jahrelangen Verhandlungen zur E-Privacy-Verordnung kommt Bewegung. Die EU-Mitgliedstaaten könnten sich auf eine pauschale Tracking-Erlaubnis für Medien und Drittanbieter einigen.

    3. Chemiekonzern: BASF kauft 3D-Druck-Dienstleister Sculpteo
      Chemiekonzern
      BASF kauft 3D-Druck-Dienstleister Sculpteo

      3D-Druck on Demand ist für den größten Chemiekonzern BASF so interessant, dass er den 3D-Druck-Anbieter Sculpteo übernimmt. Das Unternehmen möchte Sculpteo als ein Schaufenster für seine Materialien nutzen, erklärte der Gründer.


    1. 18:59

    2. 18:41

    3. 18:29

    4. 18:00

    5. 17:52

    6. 17:38

    7. 17:29

    8. 16:55