1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

+1 für DNSSEC

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. +1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 10:48

    freue mich, dass die meinung des autors nicht zu weit verbreitet ist.



    1 mal bearbeitet, zuletzt am 30.06.15 10:54 durch bjs.

  2. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 10:55

    genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

  3. Re: +1 für DNSSEC

    Autor: ikhaya 30.06.15 - 10:57

    Also mein Provider und einige andere prüfen die Abfragen, was schonmal ein Gewinn ist.
    Linux-Distributionen wie Fedora setzen auf lokale Resolver damit die Angriffsfläche geringer wird auf DNS(SEC).

    Ich denke dass reihenweise Serverschränke eine maßlose Übertreibung ist, oder hat man das wirklich mal sauber ausgetestet und berechnet?

  4. Re: +1 für DNSSEC

    Autor: tunnelblick 30.06.15 - 11:02

    ich habe nicht reihenweise geschrieben, aber einen schrank kriegt man wohl voll, ja.

  5. Re: +1 für DNSSEC

    Autor: k8n 30.06.15 - 11:04

    > genau, weil ja so viele dnssec nutzen. in meiner firma bräuchten wir wohl einen ganzen schrank von servern, die nur signing machen. aber wen interessiert das schon, gelle?

    Die Signierung erfolgt einmalig (bei Änderung der Einträge) nicht bei jedem Request.
    Und die Signierung selbst großer Zonen ist in ein paar Sekunden erledigt.
    Da dauert der Zone-Transfer an sich länger.



    1 mal bearbeitet, zuletzt am 30.06.15 11:05 durch k8n.

  6. Re: +1 für DNSSEC

    Autor: hab (Golem.de) 30.06.15 - 11:08

    Es muss sich ganz sicher niemand neue Server kaufen um DNSSEC zu implementieren. Es gibt viele Gründe gegen DNSSEC, Performance ist keiner.

    Es ist leider ein schwer auszurottender Mythos dass Kryptographie viel Rechenleistung kostet. Es gibt wirklich nur sehr, sehr wenige Situationen, in denen das ein Problem ist.

  7. -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:13

    - DoS-Attacken werden leichter.
    - Vertrauenskette ist leicht angreifbar
    - DNSSEC Walking
    - Wird ohnehin kaum eingesetzt

  8. Re: -1 für DNSSEC

    Autor: ikhaya 30.06.15 - 12:27

    Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist wesentlich vertrauenswürdiger als 500+ CAs weltweit die als vertrauenswürdig im Browser markiert sind.

    Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.
    Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon geschraubt.

    Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist keines.
    Irgendwer muss damit anfangen vor allen anderen.

  9. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 12:37

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Das mit DoS kann man aber durch saubere Konfiguration vermeiden.

    Und wie genau, wenn die Serverlast nunmal einfach höher ist?

    > "Vertrauenskette leicht angreifbar", du hast die Rootzone, wo man den Key
    > auf mehrere Leute gesplittet hat und komische Zeremonien abhält.
    > Du hast die Länderzone, deinen Registrar und Provider, und dich selbst, ist
    > wesentlich vertrauenswürdiger als 500+ CAs weltweit die als
    > vertrauenswürdig im Browser markiert sind.

    Wäre ja nicht das erste mal, dass als "vertrauenswürdig" eingestufte Zertifikate gar nicht mal so vertrauenswürdig sind. Die Schlüssel liegen auf den Servern. Und das ist immer ein Schwachpunkt.

    > Walking, sollte man geheime Dinge in seiner Zone haben? Ich glaube nein.

    Zwischen "sollte" und "muss man leider haben" besteht ein großer Unterschied.

    > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > geschraubt.

    Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    > Ich sehe das nicht als Hindernisse an, vor allem "macht keiner" ist
    > keines. Irgendwer muss damit anfangen vor allen anderen.

    Nur wird sich niemand die Mühe machen, wenn man dann am Ende der Einzige ist.

  10. Re: -1 für DNSSEC

    Autor: k8n 30.06.15 - 12:47

    > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > geschraubt.
    >
    > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.

    Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also dein Argument?

  11. Re: -1 für DNSSEC

    Autor: der_wahre_hannes 30.06.15 - 15:28

    k8n schrieb:
    --------------------------------------------------------------------------------
    > > > Für den Schutz gibt es NSEC3 und am Nachfolger NSEC5 wird auch schon
    > > > geschraubt.
    > >
    > > Das ist allerdings richtig. Nur muss das dann auch eingesetzt werden.
    >
    > Ja, und jede vernünftige Konfiguration setzt das auch ein, was ist also
    > dein Argument?

    Das Argument ist, dass a) wenig DNSSEC eingesetzt wird und b) leider allzuoft (gerade in der IT!) die Unvernunft regiert.
    Was also ist DEIN Argument?

  12. Re: -1 für DNSSEC

    Autor: Anonymer Nutzer 30.06.15 - 15:42

    @der_wahre_hannes
    das sind jetzt argumente dafür, dass dnssec minderwertig ist?

  13. Re: -1 für DNSSEC

    Autor: M.P. 30.06.15 - 16:41

    Hmm,
    ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-)
    oder wäre ... angesprochen worden (für die Agnostiker)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Marc Cain GmbH, Bodelshausen
  2. DECATHLON Deutschland SE & Co. KG, Plochingen
  3. Bundeskriminalamt, Wiesbaden
  4. Hays AG, Thüringen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme