<div dir="ltr">Hay veces que leemos artículos tan útiles como un limpiaparabrisas en un submarino!<div><br></div><div><br></div><div>En primer lugar, el párrafo inicial del artículo:</div><div><br></div><div>"<span style="color:rgb(51,51,51);font-family:'Whitney SSm 4r','Whitney SSm A','Whitney SSm B';font-size:15px;line-height:24px">All secure crypto on the Internet assumes that the DNS lookup from names to IP addresses are insecure. Securing those DNS lookups therefore enables no meaningful security. DNSSEC does make some attacks against insecure sites harder. But it doesn’t make those attacks </span><em style="font-family:'Whitney SSm 4i','Whitney SSm A','Whitney SSm B';color:rgb(51,51,51);font-size:15px;line-height:24px">infeasible</em><span style="color:rgb(51,51,51);font-family:'Whitney SSm 4r','Whitney SSm A','Whitney SSm B';font-size:15px;line-height:24px">, so sites still need to adopt secure transports like TLS. With TLS properly configured, DNSSEC adds nothing."</span></div><div><br></div><div>Sinceramente arrancar con un axioma y basar lo que sigue sobre el no parece una estrategia honesta... que sentido tiene comparar un mecanismo diseñado para asegurar la "confianza" en la traslación de un nombre a una dirección, con uno diseñado para asegurar un canal en el sentido de confidencialidad?</div><div><br></div><div>Y luego, puede que muchas de las cosas que se digan den para discusión o debate y seguramente dan para mejorar... pero el objetivo del artículo parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona en el artículo.</div><div>Decir que no andes en tal o cual auto porque es malo y que es mejor andar en uno que es bueno (pero no mencionarlo) es por definición inútil y no práctico.</div><div><br></div><div>Saludos,</div><div>Nico</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-01-15 15:29 GMT-03:00 Fernando Gont <span dir="ltr"><<a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 01/15/2016 03:09 PM, Fernando Gont wrote:<br>
> Estimados,<br>
><br>
> FYI: <<a href="http://sockpuppet.org/blog/2015/01/15/against-dnssec/" rel="noreferrer" target="_blank">http://sockpuppet.org/blog/2015/01/15/against-dnssec/</a>><br>
><br>
> Estaria bueno escuchar la opinión de Uds. sobre el blog-post en<br>
> cuestión. (De hacerlo, please citar/quotear el texto original, o<br>
> discutir puntos especificos, para que sea una discusión con "substancia").<br>
<br>
</span>Material adicional: <<a href="https://ianix.com/pub/dnssec-outages.html" rel="noreferrer" target="_blank">https://ianix.com/pub/dnssec-outages.html</a>><br>
<div class="HOEnZb"><div class="h5"><br>
Saludos cordiales,<br>
--<br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a><br>
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</div></div></blockquote></div><br></div>