<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Mis ¢2 <div class="">1 - Creo que la seguridad basada en defensa por capas, no ha pasado de moda, así como las organizaciones tienen un firewall, también aseguran los servidores en si mismos y las aplicaciones, así como todo lo relacionado con el acceso lógico y físico, aunque exista firewall.  En este caso, DNSSEC lo pueden ver como una capa mas de seguridad. En Costa Rica lo implementamos con el banco mas importante y ahora es parte de sus protocolos de seguridad, que por cierto algunas cosas son mas complejas que DNSSEC en un esquema de seguridad de una pagina transnacional de un banco.</div><div class=""><br class=""></div><div class="">2 - Complejidad: Si, al arranque, una vez automatizado con el resto de los procesos de gestion de un ccTLD se vuelve rutinario y un elemento mas a auditar.</div><div class=""><br class=""></div><div class="">saludos,</div><div class=""><br class=""></div><div class=""><div><blockquote type="cite" class=""><div class="">On Jan 26, 2016, at 3:20 PM, Iván Arce <<a href="mailto:ivan.w.arce@gmail.com" class="">ivan.w.arce@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Hola<br class=""><div class="gmail_extra"><br class=""><div class="gmail_quote">2016-01-26 10:06 GMT-03:00 Nicolas Antoniello <span dir="ltr" class=""><<a href="mailto:nantoniello@gmail.com" target="_blank" class="">nantoniello@gmail.com</a>></span>:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hola Ivan,<br class=""><br class="">Entiendo tus argumentos y comparto gran parte de ellos. De todas formas creo que no hay cosas "inevitables" en esto al punto de entregarnos a que son así y chau... Las mismas personas (por lo que contas) cambian de lado y de punto de vista varias veces a medida que van repensando las cosas (y supongo que los intereses también).<br class=""></blockquote><div class=""><br class=""></div><div class="">Bueno, en eso disiento. Yo si creo que hay cosas que una vez que adquieren masa crítica se tornan inevitables. por ejemplo, en mi opinión, IPv6 es una de ellas. PAa bien o para mal, DNSSEC -20 años después de su creación- está cerca de ese punto. Yo lo considero un caso de estudio emblemático del mal funcionamiento de los mecanismos de gobernanza técnica de la Internet.</div><div class=""><br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Supongo que hay espacio para mejorar DNSSEC, TLS o lo que sea y debemos seguir insistiendo para ello.<br class="">Por eso me resisto a descartar las cosas solo porque alguien ya lo discutió 100 veces antes o porque alguien dice que no sirve (luego que si y luego que no...).<br class=""><br class="">No es mas positivo tomar de lo que hay hoy, lo rescatable y lo que realmente sirve y tratar de combinarlo o complementarlo con otras ideas y mejorarlo?<br class=""></blockquote><div class=""><br class=""></div><div class="">No sé si es mas  positivo, con que combinarías o complementarias DNSSEC para que sea mejor? </div><div class=""> </div><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Planteo otra pregunta: seguro que nada de lo que compone DNSSEC no sirve? Tal vez hay cosas muy rescatables como el modelo de gestión de la firma de la raiz (que si, puede entrar en lo que sería una especie de entidad certificadora pero bastante descentralizada, al menos más que muchas otras).<br class=""></blockquote><div class=""><br class=""></div><div class=""><br class=""></div><div class="">A que te referís específicamente?</div><div class=""><br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">El algoritmo de seguridad (sea curvas o cual sea) seguramente se puede modificar una o 10 veces... Mañana, cuando ese tampoco sea lo suficientemente fuerte habrá que volver a cambiarlo y estaremos discutiéndolo nuevamente (eso si es medio inevitable).<br class=""><br class="">Creo que la innovación y el avance se basa justamente en eso, avanzar sobre los aciertos pero también sobre los errores, y no sobre descartar apresuradamente opciones en pro de la que creemos hoy que es mejor. Si no, retrocedemos en lugar de avanzar.<br class=""> <br class=""></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">No?<br class=""><br class=""></blockquote><div class=""><br class=""></div><div class="">No sé, esa es una pregunta abierta y general, diría que sobre filosofía de la tecnología. Creo que diverge del tema de discusión del thread. En mi opinión, innovación y avance no son sinónimos. </div><div class=""><br class=""></div><div class="">Según la RAE innovar es simplemente "crear o alterar algo, introduciendo novedades" . Partiendo de esa definición, la innovación no es intrínsecamente buena ni mala ni implica necesariamente un avance.</div><div class=""><br class=""></div><div class="">Por otro lado, hay cosas que llegado un punto son obsoletas o demostrablemente erradas o subóptimas a nivel de diseño o arquitectura y puede no existir ventaja ni avance alguno en intentar hacerle "mejoras incrementales", por ejemplo se  me ocurre que el stack TCP/IP no fue concebido como  una "mejora incremental" a SNA.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">saludos,</div><div class="">-ivan</div><div class=""><br class=""></div><div class=""><br class=""></div></div></div></div>
_______________________________________________<br class="">Seguridad mailing list<br class=""><a href="mailto:Seguridad@lacnic.net" class="">Seguridad@lacnic.net</a><br class="">https://mail.lacnic.net/mailman/listinfo/seguridad<br class=""></div></blockquote></div><br class=""></div></body></html>