<div dir="ltr">no me genera temor,  me genera rechazo. No veo qué valor agrega a DNS o, para ser más preciso, creo que el valor que agrega es ínfimo comparado con el costo que impone. Por eso, entre otras cosas, es que coincido con el diagnóstico de Ptacek. Como explique antes, me parece una cuestión de necesidad política y de negocios no una solución tecnológica adecuada para un problema concreto.<div><br></div><div>..por lo menos así lo veo yo...</div><div><br><div><div><br></div><div>saludos,</div><div><br></div><div>-ivan</div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-01-26 13:52 GMT-03:00 Christian O'Flaherty <span dir="ltr"><<a href="mailto:christian.oflaherty@gmail.com" target="_blank">christian.oflaherty@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">><br>
> Sinceramente, yo ya hace años que perdí todo interés en debatir sobre las<br>
> cualidades técnicas de DNSSEC, considero su despliegue como algo ya<br>
> imparable, una desgracia inevitable, con la misma certeza del envejecimiento<br>
> y la muerte de todo lo viviente.<br>
<br>
</span>no debería generar temor si pensamos a DNSSEC como un adicional que<br>
agrega valor al DNS. Solo será necesario cambiar algo para los que<br>
necesitan esa funcionalidad. Puede ser una minoría la que necesite<br>
DNSSEC, pero puede ser muy útil para esos.<br>
<br>
El lado bueno de DNSSEC, es que esa funcionalidad adicional (confiar<br>
en la respuesta) te puede habilitar nuevos servicios. DANE es un buen<br>
ejemplo (y que el dueño de un dominio pueda publicar un certificado).<br>
Lamentablemente esto fue en contra de las CA y lograron frenarlo para<br>
HTTPS (los browser no lo incorporaron). Habrá otros usos para DANE...<br>
<br>
Los algoritmos usados ahora pueden ser débiles pero DNSSEC en eso es abierto...<br>
Coincido con las posibilidades de DoS adicionales. Seguramente tendrán<br>
solución a medida que aparezcan los problemas. También habrá que estar<br>
atentos a las posibilidades de amplificación de tráfico.<br>
<br>
Con respecto a la "centralización" de la raíz, y mirando el tema con<br>
optimismo... DNSSEC podría ayudar. Por que necesitamos servidores<br>
raíz? Qué tal si distribuimos la zona usando rsync, ftp, scp, http,<br>
etc. y cuando instalamos un BIND o similar nos ocupamos de configurar<br>
esa actualización del archivo raiz (no tiene que ser muy seguido).<br>
Teniendo la zona (bien) firmada por IANA uno podría confiar en el<br>
archivo aunque venga por bittorrent :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
Christian<br>
</font></span><span class="im HOEnZb"><br>
> Me involucré en este thread porque me pareció que podia aportar una visión<br>
> un poco distinta que enriquezca la discusión... y porqué sé que Fernando,<br>
> que es un pillo,  mandó ese post original para provocarme :P<br>
><br>
><br>
> saludos,<br>
><br>
> -ivan<br>
><br>
><br>
> 2016-01-25 17:43 GMT-03:00 Carlos M. Martinez <<a href="mailto:carlosm3011@gmail.com">carlosm3011@gmail.com</a>>:<br>
>><br>
>><br>
>> Tomando un poquito de distancia, también hay un facilismo importante en<br>
>> quejarse a posteriori de las cosas. Es re-fácil criticar con el diario<br>
>> del lunes. Seguro que hay cosas para mejorar en DNSSEC (y en el 100% de<br>
>> los protocolos y estándares técnicos), pero todos estos estándares y<br>
>> protocolos son construcciones iterativas e incrementales.<br>
>><br>
>> El "perfecto enemigo de lo bueno" es uno de las principales cosas que<br>
>> hay que evitar, porque conduce inevitablemente a la parálisis.<br>
>><br>
>> s2<br>
>><br>
>> C.<br>
>><br>
>><br>
><br>
</span><div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> Seguridad mailing list<br>
> <a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
><br>
_______________________________________________<br>
Seguridad mailing list<br>
<a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
</div></div></blockquote></div><br></div>