[lacnog] Thomas Ptacek: Against DNSSEC

Fernando Gont fernando en gont.com.ar
Lun Ene 25 18:23:33 BRST 2016


FWIW, esto es aparentemente de Paul Vixie a una lista de IETF:

    "so we'll keep pushing the crap system we have, uphill all the way,
     noone loving it, and almost everyone in fact hating it. we've now
     spent more calendar- and person-years on DNSSEC than was spent on
     the entire IPv4 protocol suite (including DNS itself) as of 1996
     when the DNSSEC effort began. ugly, ugly, ugly."

Fuente: <https://www.ietf.org/mail-archive/web/dnsop/current/msg13711.html>


(El participante con sentido exquisito del humor hubiera borrado
"DNSSEC", y luego puesto un multiple choice de protocolos posibles).


P.S.: En lo personal, soy esceptico a la conclusión de las discusiones
sobre estos temas. Haciendo una analogia, lo malo no es que la gente
coma hamburguesas, sino que se coman un BigMac y crean que se estan
comiendo un asado...

Fernando




On 01/25/2016 04:46 PM, Nicolas Antoniello wrote:
> Hay veces que leemos artículos tan útiles como un limpiaparabrisas en un
> submarino!
> 
> 
> En primer lugar, el párrafo inicial del artículo:
> 
> "All secure crypto on the Internet assumes that the DNS lookup from
> names to IP addresses are insecure. Securing those DNS lookups therefore
> enables no meaningful security. DNSSEC does make some attacks against
> insecure sites harder. But it doesn’t make those attacks /infeasible/,
> so sites still need to adopt secure transports like TLS. With TLS
> properly configured, DNSSEC adds nothing."
> 
> Sinceramente arrancar con un axioma y basar lo que sigue sobre el no
> parece una estrategia honesta... que sentido tiene comparar un mecanismo
> diseñado para asegurar la "confianza" en la traslación de un nombre a
> una dirección, con uno diseñado para asegurar un canal en el sentido de
> confidencialidad?
> 
> Y luego, puede que muchas de las cosas que se digan den para discusión o
> debate y seguramente dan para mejorar... pero el objetivo del artículo
> parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que
> nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona
> en el artículo.
> Decir que no andes en tal o cual auto porque es malo y que es mejor
> andar en uno que es bueno (pero no mencionarlo) es por definición inútil
> y no práctico.
> 
> Saludos,
> Nico
> 
> 
> 
> 
> 2016-01-15 15:29 GMT-03:00 Fernando Gont <fgont en si6networks.com
> <mailto:fgont en si6networks.com>>:
> 
>     On 01/15/2016 03:09 PM, Fernando Gont wrote:
>     > Estimados,
>     >
>     > FYI: <http://sockpuppet.org/blog/2015/01/15/against-dnssec/>
>     >
>     > Estaria bueno escuchar la opinión de Uds. sobre el blog-post en
>     > cuestión. (De hacerlo, please citar/quotear el texto original, o
>     > discutir puntos especificos, para que sea una discusión con "substancia").
> 
>     Material adicional: <https://ianix.com/pub/dnssec-outages.html>
> 
>     Saludos cordiales,
>     --
>     Fernando Gont
>     SI6 Networks
>     e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>     PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> 
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 


-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1






Más información sobre la lista de distribución LACNOG