[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Fernando Gont
fgont en si6networks.com
Mar Ene 26 18:38:13 BRST 2016
On 01/26/2016 01:52 PM, Christian O'Flaherty wrote:
>>
>> Sinceramente, yo ya hace años que perdí todo interés en debatir sobre las
>> cualidades técnicas de DNSSEC, considero su despliegue como algo ya
>> imparable, una desgracia inevitable, con la misma certeza del envejecimiento
>> y la muerte de todo lo viviente.
>
> no debería generar temor si pensamos a DNSSEC como un adicional que
> agrega valor al DNS. Solo será necesario cambiar algo para los que
> necesitan esa funcionalidad. Puede ser una minoría la que necesite
> DNSSEC, pero puede ser muy útil para esos.
Las cosas tienen un precio. Mira por ejemplo:
<https://ianix.com/pub/dnssec-outages.html>
Si por un "potenciaaaal" uso tenes un sitio que queda abajo, la elección
no fue buena.
En lo personal, tomo como principio basico de seguridad eliminar todo
aquello que no es necesario.
Ejemplo bonito de hace dias:
<https://threatpost.com/freebsd-patches-kernel-panic-vulnerability/116001/>
-- DoS basado en mensajes ICMPv6 destinados a SCTP.
> El lado bueno de DNSSEC, es que esa funcionalidad adicional (confiar
> en la respuesta) te puede habilitar nuevos servicios. DANE es un buen
> ejemplo (y que el dueño de un dominio pueda publicar un certificado).
Hay cosas que sarrastran cuestiones de DNSSEC: por ejemplo., si falla la
validacion, que hacemos? Falla gave o fall-back a uso "inseguro"?
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución Seguridad