Сторонние DNS сервисы
Разъясните, пожалуйста, как сказывается на анонимности, безопасности, использование сторонних DNS сервисов таких как – (OpenDNS, Google Public DNS и др.) вместо «провайдерских»? Мне кажется, что – при использовании сторонних DNS о посещаемых мной ресурсах будет уже знать не только мой провайдер, но и чужой дядя со стороны, чьи dns я и буду использовать. Или я не прав? И лучше использовать сторонние DNS, чем от своего провайдера…?
комментариев: 11558 документов: 1036 редакций: 4118
Вроде эта фича отключабельная через персональные настройки.
У гугла есть другие источники дохода. :)
Так я для сравнения их наглежа!
По ссылке пишут Не очень понятно, что здесь подразумевалось. Я слышал о той проблеме, что текущий DNS-протокол таков, что корневые DNS-сервера могут не делегировать резолвинг локальным DNS, владеющим доменами, а отвечать за них сами. В частности, это позволяет корневым серверам отбирать абсолютно любой домен, вне зависимости от того, где он зарегистрирован и какого он уровня (второго, третьего, четвёртого и т.д.). Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?
комментариев: 11558 документов: 1036 редакций: 4118
Теоретически, вышестоящая DNS-зона может подделать любую нижестоящую запись — для этого надо пересоздать всю цепочку ключей вплоть до целевой зоны. Риск такого события не входит в модель угрозы.
Клиент DNSSEC — это и есть локальный резолвер; это не обязательно полноценный рекурсивный DNS-клиент, это может быть и минималистичный stub-резолвер (см. описание CD- и AD-битов DNSSEC). Да, приложения не проверяют правильность возвращаемых им ответов, но если локальная система не скомпрометирована, этим ответам предполагается возможным доверять, поскольку проверку цепочки подписей осуществляет локальный резолвер.
P.S.: У многих толстых приложений, вроде бы, свой резолвер, если ничего не путаю — штатным резолвером не многие пользуются.
SATtva, почему домен pgpru.com не подписан?
комментариев: 11558 документов: 1036 редакций: 4118
Потому что при наличии SSL-сертификата в этом нет существенного смысла. Это не значит, что смысла нет совсем (затрудняется организация подмены сертификата/домена, например), так что в принципе можно озаботиться этим вопросом.
комментариев: 9796 документов: 488 редакций: 5664
Да, мне тоже не понятно почему. Обычно подписаны домены всяких там коммерческих компаний, связанных с CA.
Спасибо.
Но я только самого главного не понял: как dnssec-validator проверяет подписи в цепочке? Для этого же нужно либо доверие к какому-то эффективному центру сертификации, либо доверие к руками заданным отпечаткам, которые пользователь сам по доверенному каналу получил. А тут для кучи доменов и при этом в автоматчиеском режиме. Как такое может быть?
комментариев: 11558 документов: 1036 редакций: 4118