[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Christian O'Flaherty
christian.oflaherty en gmail.com
Mar Ene 26 14:52:28 BRST 2016
>
> Sinceramente, yo ya hace años que perdí todo interés en debatir sobre las
> cualidades técnicas de DNSSEC, considero su despliegue como algo ya
> imparable, una desgracia inevitable, con la misma certeza del envejecimiento
> y la muerte de todo lo viviente.
no debería generar temor si pensamos a DNSSEC como un adicional que
agrega valor al DNS. Solo será necesario cambiar algo para los que
necesitan esa funcionalidad. Puede ser una minoría la que necesite
DNSSEC, pero puede ser muy útil para esos.
El lado bueno de DNSSEC, es que esa funcionalidad adicional (confiar
en la respuesta) te puede habilitar nuevos servicios. DANE es un buen
ejemplo (y que el dueño de un dominio pueda publicar un certificado).
Lamentablemente esto fue en contra de las CA y lograron frenarlo para
HTTPS (los browser no lo incorporaron). Habrá otros usos para DANE...
Los algoritmos usados ahora pueden ser débiles pero DNSSEC en eso es abierto...
Coincido con las posibilidades de DoS adicionales. Seguramente tendrán
solución a medida que aparezcan los problemas. También habrá que estar
atentos a las posibilidades de amplificación de tráfico.
Con respecto a la "centralización" de la raíz, y mirando el tema con
optimismo... DNSSEC podría ayudar. Por que necesitamos servidores
raíz? Qué tal si distribuimos la zona usando rsync, ftp, scp, http,
etc. y cuando instalamos un BIND o similar nos ocupamos de configurar
esa actualización del archivo raiz (no tiene que ser muy seguido).
Teniendo la zona (bien) firmada por IANA uno podría confiar en el
archivo aunque venga por bittorrent :-)
Christian
> Me involucré en este thread porque me pareció que podia aportar una visión
> un poco distinta que enriquezca la discusión... y porqué sé que Fernando,
> que es un pillo, mandó ese post original para provocarme :P
>
>
> saludos,
>
> -ivan
>
>
> 2016-01-25 17:43 GMT-03:00 Carlos M. Martinez <carlosm3011 en gmail.com>:
>>
>>
>> Tomando un poquito de distancia, también hay un facilismo importante en
>> quejarse a posteriori de las cosas. Es re-fácil criticar con el diario
>> del lunes. Seguro que hay cosas para mejorar en DNSSEC (y en el 100% de
>> los protocolos y estándares técnicos), pero todos estos estándares y
>> protocolos son construcciones iterativas e incrementales.
>>
>> El "perfecto enemigo de lo bueno" es uno de las principales cosas que
>> hay que evitar, porque conduce inevitablemente a la parálisis.
>>
>> s2
>>
>> C.
>>
>>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
Más información sobre la lista de distribución Seguridad