[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Iván Arce
ivan.w.arce en gmail.com
Mar Ene 26 18:58:12 BRST 2016
no me genera temor, me genera rechazo. No veo qué valor agrega a DNS o,
para ser más preciso, creo que el valor que agrega es ínfimo comparado con
el costo que impone. Por eso, entre otras cosas, es que coincido con el
diagnóstico de Ptacek. Como explique antes, me parece una cuestión de
necesidad política y de negocios no una solución tecnológica adecuada para
un problema concreto.
..por lo menos así lo veo yo...
saludos,
-ivan
2016-01-26 13:52 GMT-03:00 Christian O'Flaherty <
christian.oflaherty en gmail.com>:
> >
> > Sinceramente, yo ya hace años que perdí todo interés en debatir sobre las
> > cualidades técnicas de DNSSEC, considero su despliegue como algo ya
> > imparable, una desgracia inevitable, con la misma certeza del
> envejecimiento
> > y la muerte de todo lo viviente.
>
> no debería generar temor si pensamos a DNSSEC como un adicional que
> agrega valor al DNS. Solo será necesario cambiar algo para los que
> necesitan esa funcionalidad. Puede ser una minoría la que necesite
> DNSSEC, pero puede ser muy útil para esos.
>
> El lado bueno de DNSSEC, es que esa funcionalidad adicional (confiar
> en la respuesta) te puede habilitar nuevos servicios. DANE es un buen
> ejemplo (y que el dueño de un dominio pueda publicar un certificado).
> Lamentablemente esto fue en contra de las CA y lograron frenarlo para
> HTTPS (los browser no lo incorporaron). Habrá otros usos para DANE...
>
> Los algoritmos usados ahora pueden ser débiles pero DNSSEC en eso es
> abierto...
> Coincido con las posibilidades de DoS adicionales. Seguramente tendrán
> solución a medida que aparezcan los problemas. También habrá que estar
> atentos a las posibilidades de amplificación de tráfico.
>
> Con respecto a la "centralización" de la raíz, y mirando el tema con
> optimismo... DNSSEC podría ayudar. Por que necesitamos servidores
> raíz? Qué tal si distribuimos la zona usando rsync, ftp, scp, http,
> etc. y cuando instalamos un BIND o similar nos ocupamos de configurar
> esa actualización del archivo raiz (no tiene que ser muy seguido).
> Teniendo la zona (bien) firmada por IANA uno podría confiar en el
> archivo aunque venga por bittorrent :-)
>
> Christian
>
> > Me involucré en este thread porque me pareció que podia aportar una
> visión
> > un poco distinta que enriquezca la discusión... y porqué sé que Fernando,
> > que es un pillo, mandó ese post original para provocarme :P
> >
> >
> > saludos,
> >
> > -ivan
> >
> >
> > 2016-01-25 17:43 GMT-03:00 Carlos M. Martinez <carlosm3011 en gmail.com>:
> >>
> >>
> >> Tomando un poquito de distancia, también hay un facilismo importante en
> >> quejarse a posteriori de las cosas. Es re-fácil criticar con el diario
> >> del lunes. Seguro que hay cosas para mejorar en DNSSEC (y en el 100% de
> >> los protocolos y estándares técnicos), pero todos estos estándares y
> >> protocolos son construcciones iterativas e incrementales.
> >>
> >> El "perfecto enemigo de lo bueno" es uno de las principales cosas que
> >> hay que evitar, porque conduce inevitablemente a la parálisis.
> >>
> >> s2
> >>
> >> C.
> >>
> >>
> >
> > _______________________________________________
> > Seguridad mailing list
> > Seguridad en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/seguridad
> >
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20160126/c98c6eed/attachment.html>
Más información sobre la lista de distribución Seguridad