[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

[Nicolas Antoniello]

Hola Ivan,

Entiendo tus argumentos y comparto gran parte de ellos. De todas formas
creo que no hay cosas "inevitables" en esto al punto de entregarnos a que
son así y chau... Las mismas personas (por lo que contas) cambian de lado y
de punto de vista varias veces a medida que van repensando las cosas (y
supongo que los intereses también).
Supongo que hay espacio para mejorar DNSSEC, TLS o lo que sea y debemos
seguir insistiendo para ello.
Por eso me resisto a descartar las cosas solo porque alguien ya lo discutió
100 veces antes o porque alguien dice que no sirve (luego que si y luego
que no...).

No es mas positivo tomar de lo que hay hoy, lo rescatable y lo que
realmente sirve y tratar de combinarlo o complementarlo con otras ideas y
mejorarlo?

Planteo otra pregunta: seguro que nada de lo que compone DNSSEC no sirve?
Tal vez hay cosas muy rescatables como el modelo de gestión de la firma de
la raiz (que si, puede entrar en lo que sería una especie de entidad
certificadora pero bastante descentralizada, al menos más que muchas otras).
El algoritmo de seguridad (sea curvas o cual sea) seguramente se puede
modificar una o 10 veces... Mañana, cuando ese tampoco sea lo
suficientemente fuerte habrá que volver a cambiarlo y estaremos
discutiéndolo nuevamente (eso si es medio inevitable).

Creo que la innovación y el avance se basa justamente en eso, avanzar sobre
los aciertos pero también sobre los errores, y no sobre descartar
apresuradamente opciones en pro de la que creemos hoy que es mejor. Si no,
retrocedemos en lugar de avanzar.

No?

Saludos,
Nico


El El mar, 26 de ene. de 2016 a las 07:12, Fernando Gont <
fgont en si6networks.com> escribió:

> On 01/26/2016 02:54 AM, Iván Arce wrote:
> > Como comenté en mi post mas extenso, la queja y la crítica no es a
> > posteriori, tanto Ptacek como varios otros detractores de DNSSEC
> > hicieron las mismas críticas y otras mucho más fundamentadas hace mas de
> > una década, en algunos casos hace casi dos.
> >
> > En mi opinión lo que condujo inevitablemente a la parálisis es
> > exactamente lo contrario, la idea de que la única solución Verdadera y
> > Correcta era el despliegue global de DNSSEC. Pasaron 20 años y todavía
> > estamos hablando de eso...
> >
> > Sinceramente, yo ya hace años que perdí todo interés en debatir sobre
> > las cualidades técnicas de DNSSEC, considero su despliegue como algo ya
> > imparable, una desgracia inevitable, con la misma certeza del
> > envejecimiento y la muerte de todo lo viviente.
> >
> > Me involucré en este thread porque me pareció que podia aportar una
> > visión un poco distinta que enriquezca la discusión... y porqué sé que
> > Fernando, que es un pillo,  mandó ese post original para provocarme :P
>
> Me declaro culpable. :-) ..."Tardó, , pero lo disfrute" :D
>
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20160126/eb2ec467/attachment.html>