[lacnog] Thomas Ptacek: Against DNSSEC
Fernando Gont
fernando en gont.com.ar
Lun Ene 25 18:23:33 BRST 2016
FWIW, esto es aparentemente de Paul Vixie a una lista de IETF:
"so we'll keep pushing the crap system we have, uphill all the way,
noone loving it, and almost everyone in fact hating it. we've now
spent more calendar- and person-years on DNSSEC than was spent on
the entire IPv4 protocol suite (including DNS itself) as of 1996
when the DNSSEC effort began. ugly, ugly, ugly."
Fuente: <https://www.ietf.org/mail-archive/web/dnsop/current/msg13711.html>
(El participante con sentido exquisito del humor hubiera borrado
"DNSSEC", y luego puesto un multiple choice de protocolos posibles).
P.S.: En lo personal, soy esceptico a la conclusión de las discusiones
sobre estos temas. Haciendo una analogia, lo malo no es que la gente
coma hamburguesas, sino que se coman un BigMac y crean que se estan
comiendo un asado...
Fernando
On 01/25/2016 04:46 PM, Nicolas Antoniello wrote:
> Hay veces que leemos artículos tan útiles como un limpiaparabrisas en un
> submarino!
>
>
> En primer lugar, el párrafo inicial del artículo:
>
> "All secure crypto on the Internet assumes that the DNS lookup from
> names to IP addresses are insecure. Securing those DNS lookups therefore
> enables no meaningful security. DNSSEC does make some attacks against
> insecure sites harder. But it doesn’t make those attacks /infeasible/,
> so sites still need to adopt secure transports like TLS. With TLS
> properly configured, DNSSEC adds nothing."
>
> Sinceramente arrancar con un axioma y basar lo que sigue sobre el no
> parece una estrategia honesta... que sentido tiene comparar un mecanismo
> diseñado para asegurar la "confianza" en la traslación de un nombre a
> una dirección, con uno diseñado para asegurar un canal en el sentido de
> confidencialidad?
>
> Y luego, puede que muchas de las cosas que se digan den para discusión o
> debate y seguramente dan para mejorar... pero el objetivo del artículo
> parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que
> nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona
> en el artículo.
> Decir que no andes en tal o cual auto porque es malo y que es mejor
> andar en uno que es bueno (pero no mencionarlo) es por definición inútil
> y no práctico.
>
> Saludos,
> Nico
>
>
>
>
> 2016-01-15 15:29 GMT-03:00 Fernando Gont <fgont en si6networks.com
> <mailto:fgont en si6networks.com>>:
>
> On 01/15/2016 03:09 PM, Fernando Gont wrote:
> > Estimados,
> >
> > FYI: <http://sockpuppet.org/blog/2015/01/15/against-dnssec/>
> >
> > Estaria bueno escuchar la opinión de Uds. sobre el blog-post en
> > cuestión. (De hacerlo, please citar/quotear el texto original, o
> > discutir puntos especificos, para que sea una discusión con "substancia").
>
> Material adicional: <https://ianix.com/pub/dnssec-outages.html>
>
> Saludos cordiales,
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución LACNOG