1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › DENIC testet DNSSEC

Müssen wir uns sorgen machen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Müssen wir uns sorgen machen?

    Autor: Müssen wir uns sorgen machen 13.05.09 - 11:33

    ...das unsere Router damit nciht klar kommen. Oder wird das vor dem endkunden noch dekodiert?

  2. Re: Müssen wir uns sorgen machen?

    Autor: RipClaw 13.05.09 - 11:48

    Da muß nichts dekodiert werden.

    DNSSec ist lediglich eine Erweiterung die es ermöglich zu prüfen ob die Antwort des DNSServers echt ist. Das DNS System bleibt kompatibel.
    Lustigerweise werden die DNS Sperren die Ursula von der Leyen so propagiert durch DNSSec quasi ausgehebelt sofern der Client DNSSec beherrscht.

  3. Re: Müssen wir uns sorgen machen?

    Autor: Pitr31 13.05.09 - 12:09

    Ob da nun ein Stoppschild oder ne DNS-Warnung angezeigt wird, wird ihr egal sein. Sie wird ja nichtmal den Unterschied begreifen.

  4. Re: Müssen wir uns sorgen machen?

    Autor: RipClaw 13.05.09 - 12:21

    Pitr31 schrieb:
    -------------------------------------------------------
    > Ob da nun ein Stoppschild oder ne DNS-Warnung
    > angezeigt wird, wird ihr egal sein. Sie wird ja
    > nichtmal den Unterschied begreifen.

    Der Unterschied ist das nach aktuellem Gesetzesvorschlag jeder Besuch eine Stoppseite mitgeloggt wird und als Anfangsverdacht gegen denjenigen verwendet wird der auf die Stoppseite gerät, auch wenn es unabsichtlich war.

    Beim DNS Fehler würde einfach garnichts passieren. Man bekommt die Fehlermeldung und besucht dann eben die Seite nicht, aber man landet wenigstens nicht auf der Verdächtigenliste beim BKA.

  5. Re: Müssen wir uns sorgen machen?

    Autor: RipClaw 13.05.09 - 12:21

    Pitr31 schrieb:
    -------------------------------------------------------
    > Ob da nun ein Stoppschild oder ne DNS-Warnung
    > angezeigt wird, wird ihr egal sein. Sie wird ja
    > nichtmal den Unterschied begreifen.

    Der Unterschied ist das nach aktuellem Gesetzesvorschlag jeder Besuch eine Stoppseite mitgeloggt wird und als Anfangsverdacht gegen denjenigen verwendet wird der auf die Stoppseite gerät, auch wenn es unabsichtlich war.

    Beim DNS Fehler würde einfach garnichts passieren. Man bekommt die Fehlermeldung und besucht dann eben die Seite nicht, aber man landet wenigstens nicht auf der Verdächtigenliste beim BKA.

  6. Re: Müssen wir uns sorgen machen?

    Autor: OSIminator 13.05.09 - 12:49

    Router interessieren sich nur fuer IP, nicht fuer TCP, UDP oder was hoeher kommt.

  7. Re: Müssen wir uns sorgen machen?

    Autor: Tantalus 13.05.09 - 13:05

    Ich glaube, er meinte den durchschnittlichen Heim-WLAN/DSL-Router, der für das heimische Netz auch den DNS-Server darstellt (in der Standardkonfig zumindest). Aber bis (wenn überhaupt) DNSSEC in solchen Geräten eingesetzt wird, dauert es sicher noch ein paar Jahre.

    Gruß
    Tantalus

  8. Re: Müssen wir uns sorgen machen?

    Autor: ludolf 13.05.09 - 13:34

    Müssen wir uns sorgen machen schrieb:
    -------------------------------------------------------
    > ...das unsere Router damit nciht klar kommen. Oder
    > wird das vor dem endkunden noch dekodiert?

    Eher ob man den Mechanismus nicht auch für andere Zwecke verwenden kann. Wenn DNS-Server die Auflösung nicht mehr selbst verändern können (ohne die Zertifizierung zu verlieren und aus dem DNS-Verbund zu fliegen), kann man dann nicht auch mit diesem Mechanismus global blocken ?

    :-(

  9. Re: Müssen wir uns sorgen machen?

    Autor: RipClaw 13.05.09 - 14:36

    ludolf schrieb:
    -------------------------------------------------------
    > Müssen wir uns sorgen machen schrieb:
    > --------------------------------------------------
    > -----
    > > ...das unsere Router damit nciht klar kommen.
    > Oder
    > wird das vor dem endkunden noch
    > dekodiert?
    >
    > Eher ob man den Mechanismus nicht auch für andere
    > Zwecke verwenden kann. Wenn DNS-Server die
    > Auflösung nicht mehr selbst verändern können (ohne
    > die Zertifizierung zu verlieren und aus dem
    > DNS-Verbund zu fliegen), kann man dann nicht auch
    > mit diesem Mechanismus global blocken ?

    Inwiefern ?
    Der Mechanismus ist nur dafür da zu Authentifizieren das die Antwort auf dem Weg vom Nameserver auf dem die Domain eingetragen ist zu dir nicht verändert wurde.
    Ich wüsste nicht wie man das irgendwie mißbrauchen könnte. Im Gegenteil. Bei DNS Blockaden wie sie aktuell verwendet werden würde der Mechanismus die Blockierung aufdecken und sogar verhindert das man auf so einer Stoppseite landet.




    1 mal bearbeitet, zuletzt am 13.05.09 14:39 durch RipClaw.

  10. Re: Müssen wir uns sorgen machen?

    Autor: OSIminator 13.05.09 - 14:41

    Selbst wenn, die kommunikation mit den Provider-DNS-Servern wird wohl auch in zukunft unverschluesselt/unsigniert sein; und auch wenn sich das in vielen Jahren mal aendern sollte, kann man immer noch diese als Resolving-Server eintragen auf den Clients.

    (Und nein, der einwand, das Oma Blumentopf dann was aendern muss ist nicht relevant, es gibt kein Recht darauf, veraltetes equipment fuer alle ewigkeiten ohne configaenderung benutzen zu koennen. Bis es soweit ist, sind aber sowiso fast alle Homerouter die heute im einsatz sind sowiso schon kaputt, und neue werden dann sicherlich mit TR69 ausgeliefert)

  11. Re: Müssen wir uns sorgen machen?

    Autor: OSIminator 13.05.09 - 14:50

    ludolf schrieb:
    -------------------------------------------------------

    > Eher ob man den Mechanismus nicht auch für andere
    > Zwecke verwenden kann. Wenn DNS-Server die
    > Auflösung nicht mehr selbst verändern können (ohne
    > die Zertifizierung zu verlieren und aus dem
    > DNS-Verbund zu fliegen), kann man dann nicht auch
    > mit diesem Mechanismus global blocken ?

    Sicher, aber warum sollte man? Wenn jemand (ICANN, Denic) zugang zu einem zonenkey hat, haben sie per definition auch zugang zur eigendlichen Zone und koennen dich auch direkt blocken.

  12. Re: Müssen wir uns sorgen machen?

    Autor: ludolf 13.05.09 - 15:01

    RipClaw schrieb:
    -------------------------------------------------------
    > Inwiefern ?
    > Der Mechanismus ist nur dafür da zu
    > Authentifizieren das die Antwort auf dem Weg vom
    > Nameserver auf dem die Domain eingetragen ist zu
    > dir nicht verändert wurde.

    Solange er nicht auch zwischen den DNS-Servern verwendet wird okay. Sollte die Synchronisation zwischen Server<>Server aber ebenfalls mittel zertifizierter Domain=IP überprüft werden, dann ließe sich auf diesem Wege eine Manipulation über die Grenzen einzelner DNS-Server aufdecken und unterbinden.

    Jegliche Art der Zentralisierung, der Steuerung des Netzes und auf dem Wege den Ausschluss nicht konformer Server, sollte man mit Ablehnung betrachten. Jeder Mechanismus der eine zentralisierte Kontrolle begünstigt schafft Begehrlichkeiten, die in der Regel immer ihre Abnehmer finden ;-)

  13. Re: Müssen wir uns sorgen machen?

    Autor: ludolf 13.05.09 - 16:24

    OSIminator schrieb:
    -------------------------------------------------------
    > Sicher, aber warum sollte man? Wenn jemand (ICANN,
    > Denic) zugang zu einem zonenkey hat, haben sie per
    > definition auch zugang zur eigendlichen Zone und
    > koennen dich auch direkt blocken.

    Weil ich mir vorstellen könnte, dass alternative DNS-Server/Cache ein Dorn im Auge sind ;-)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. Deutsche Rentenversicherung Bund, Berlin
  3. Technische Universität Darmstadt, Darmstadt
  4. WAGO Kontakttechnik GmbH (nach Schweizer Recht) & Co. KG, Minden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 38,99€
  2. (u. a.Warhammer 40.000 Mechanicus für 13,99€, Pillars of Eternity für 15,99€, Surviving Mars...
  3. (u. a. 970 Evo 1 TB für 149,90€, 970 Evo 500 GB für 77,90€)
  4. (u. a. Acer 27 Zoll Monitor für 179,00€, Benq 27 Zoll Monitor für 132,90€, Logitech G613...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

  1. 30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
    30 Jahre Champions of Krynn
    Rückkehr ins Reich der Drachen und Drakonier

    Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.

  2. Beoplay E8 3.0: B&O verbessert seine Bluetooth-Hörstöpsel
    Beoplay E8 3.0
    B&O verbessert seine Bluetooth-Hörstöpsel

    B&O hat seine Bluetooth-Hörstöpsel Beoplay E8 das dritte Mal überarbeitet. Die True Wireless In-Ears sollen eine bessere Klangqualität und eine längere Akkulaufzeit erhalten. Zudem wird eine bessere Qualität bei Telefonaten versprochen und die Stöpsel wurden kleiner gemacht.

  3. Autos: Subaru will in 15 Jahren rein elektrisch fahren
    Autos
    Subaru will in 15 Jahren rein elektrisch fahren

    Der japanische Autohersteller Subaru plant, bis Mitte der 2030er Jahre alle Fahrzeuge elektrisch zu betreiben. In zehn Jahren sollen 40 Prozent aller Fahrzeuge elektrisch oder als Hybrid unterwegs sein.


  1. 08:59

  2. 08:48

  3. 08:26

  4. 07:39

  5. 07:30

  6. 17:20

  7. 17:07

  8. 16:45