Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

+1 für DNSSEC

  1. Thema

Neues Thema Ansicht wechseln


  1. +1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 10:48

    freue mich, dass die meinung des autors nicht zu weit verbreitet ist.



    1 mal bearbeitet, zuletzt am 30.06.15 10:54 durch bjs.

  2. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 10:55

    genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

  3. Re: +1 für DNSSEC

    Autor: ikhaya 30.06.15 - 10:57

    Also mein Provider und einige andere prüfen die Abfragen, was schonmal ein Gewinn ist.
    Linux-Distributionen wie Fedora setzen auf lokale Resolver damit die Angriffsfläche geringer wird auf DNS(SEC).

    Ich denke dass reihenweise Serverschränke eine maßlose Übertreibung ist, oder hat man das wirklich mal sauber ausgetestet und berechnet?

  4. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 11:02

    ich habe nicht reihenweise geschrieben, aber einen schrank kriegt man wohl voll, ja.

  5. Re: +1 für DNSSEC

    Autor: k8n 30.06.15 - 11:04

    > genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

    Die Signierung erfolgt einmalig (bei Änderung der Einträge) nicht bei jedem Request.
    Und die Signierung selbst großer Zonen ist in ein paar Sekunden erledigt.
    Da dauert der Zone-Transfer an sich länger.



    1 mal bearbeitet, zuletzt am 30.06.15 11:05 durch k8n.

  6. Re: +1 für DNSSEC

    Autor: hannob (golem.de) 30.06.15 - 11:08

    Es muss sich ganz sicher niemand neue Server kaufen um DNSSEC zu implementieren. Es gibt viele Gründe gegen DNSSEC, Performance ist keiner.

    Es ist leider ein schwer auszurottender Mythos dass Kryptographie viel Rechenleistung kostet. Es gibt wirklich nur sehr, sehr wenige Situationen, in denen das ein Problem ist.

  7. -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:13

    - DoS-Attacken werden leichter.
    - Vertrauenskette ist leicht angreifbar
    - DNSSEC Walking
    - Wird ohnehin kaum eingesetzt

  8. Re: -1 für DNSSEC

    Autor: ikhaya 30.06.15 - 12:27

    Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist wesentlich vertrauenswürdiger als 500+ CAs weltweit die als vertrauenswürdig im Browser markiert sind.

    Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.
    Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon geschraubt.

    Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist keines.
    Irgendwer muss damit anfangen vor allen anderen.

  9. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:37

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    Und wie genau, wenn die Serverlast nunmal einfach höher ist?

    > "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key
    > auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    > Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist
    > wesentlich vertrauenswürdiger als 500+ CAs weltweit die als
    > vertrauenswürdig im Browser markiert sind.

    Wäre ja nicht das erste mal, dass als "vertrauenswürdig" eingestufte Zertifikate gar nicht mal so vertrauenswürdig sind. Die Schlüssel liegen auf den Servern. Und das ist immer ein Schwachpunkt.

    > Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.

    Zwischen "sollte" und "muss man leider haben" besteht ein großer Unterschied.

    > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > geschraubt.

    Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    > Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist
    > keines. Irgendwer muss damit anfangen vor allen anderen.

    Nur wird sich niemand die Mühe machen, wenn man dann am Ende der Einzige ist.

  10. Re: -1 für DNSSEC

    Autor: k8n 30.06.15 - 12:47

    > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > geschraubt.
    >
    > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also dein Argument?

  11. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 15:28

    k8n schrieb:
    --------------------------------------------------------------------------------
    > > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > > geschraubt.
    > >
    > > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.
    >
    > Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also
    > dein Argument?

    Das Argument ist, dass a) wenig DNSSEC eingesetzt wird und b) leider allzuoft (gerade in der IT!) die Unvernunft regiert.
    Was also ist DEIN Argument?

  12. Re: -1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 15:42

    @der_wahre_hannes
    das sind jetzt argumente dafür, dass dnssec minderwertig ist?

  13. Re: -1 für DNSSEC

    Autor: M.P. 30.06.15 - 16:41

    Hmm,
    ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-)
    oder wäre ... angesprochen worden (für die Agnostiker)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Stadtwerke München GmbH, München
  3. Hays AG, Weissach
  4. Ohrner IT GmbH, Böblingen bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. ab 399€
  2. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  3. ab 119,98€ (Release 04.10.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

  1. Valve: SteamVRs Motion Smoothing macht VR flüssiger
    Valve
    SteamVRs Motion Smoothing macht VR flüssiger

    Per Motion Smoothing kann Valves SteamVR beim HTC Vive (Pro) die Bildrate samt Animationen vorhersagen. Dadurch synthetisch generierte Frames sorgen für flüssige Virtual Reality auch auf jeglicher Hardware.

  2. Indiegames-Rundschau: Rollenspielkult und randalierende Roboter
    Indiegames-Rundschau
    Rollenspielkult und randalierende Roboter

    Der Herbst bringt viel Material für lange Rollenspielabende in Pathfinder Kingmaker und The Bard's Tale 4. Dazu kommen weitere Indiegames, etwa ein spannender Survivalkampf - in tiefster Dunkelheit!

  3. Hinterradantrieb: Tesla verkauft jetzt ein günstigeres Modell 3
    Hinterradantrieb
    Tesla verkauft jetzt ein günstigeres Modell 3

    Tesla hat eine preiswertere Version des Model 3 angekündigt, die weniger kostet als die Langstreckenversion, die Tesla bisher verkauft hat. Es handelt sich aber noch nicht um das versprochene 35.000-US-Dollar-Basismodell.


  1. 09:19

  2. 09:11

  3. 08:15

  4. 07:43

  5. 07:25

  6. 07:11

  7. 19:03

  8. 18:40