[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Nicolas Antoniello
nantoniello en gmail.com
Lun Ene 25 17:46:49 BRST 2016
Hay veces que leemos artículos tan útiles como un limpiaparabrisas en un
submarino!
En primer lugar, el párrafo inicial del artículo:
"All secure crypto on the Internet assumes that the DNS lookup from names
to IP addresses are insecure. Securing those DNS lookups therefore enables
no meaningful security. DNSSEC does make some attacks against insecure
sites harder. But it doesn’t make those attacks *infeasible*, so sites
still need to adopt secure transports like TLS. With TLS properly
configured, DNSSEC adds nothing."
Sinceramente arrancar con un axioma y basar lo que sigue sobre el no parece
una estrategia honesta... que sentido tiene comparar un mecanismo diseñado
para asegurar la "confianza" en la traslación de un nombre a una dirección,
con uno diseñado para asegurar un canal en el sentido de confidencialidad?
Y luego, puede que muchas de las cosas que se digan den para discusión o
debate y seguramente dan para mejorar... pero el objetivo del artículo
parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que
nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona en
el artículo.
Decir que no andes en tal o cual auto porque es malo y que es mejor andar
en uno que es bueno (pero no mencionarlo) es por definición inútil y no
práctico.
Saludos,
Nico
2016-01-15 15:29 GMT-03:00 Fernando Gont <fgont en si6networks.com>:
> On 01/15/2016 03:09 PM, Fernando Gont wrote:
> > Estimados,
> >
> > FYI: <http://sockpuppet.org/blog/2015/01/15/against-dnssec/>
> >
> > Estaria bueno escuchar la opinión de Uds. sobre el blog-post en
> > cuestión. (De hacerlo, please citar/quotear el texto original, o
> > discutir puntos especificos, para que sea una discusión con
> "substancia").
>
> Material adicional: <https://ianix.com/pub/dnssec-outages.html>
>
> Saludos cordiales,
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20160125/26d5c24f/attachment.html>
Más información sobre la lista de distribución Seguridad