Сторонние DNS сервисы

кто будет доверять OpenDNS с их политикой перенаправлять неизвестные домены на страницу с рекламой?

Вроде эта фича отключабельная через персональные настройки.

Т.е. по сути они уже спуффят. Гугль, например, таким не занимается.

У гугла есть другие источники дохода. :)

Вроде эта фича отключабельная через персональные настройки.

Википедия пишет, что только в случае статического IP.

У гугла есть другие источники дохода.

Так я для сравнения их наглежа!

По ссылке пишут

DNSSEC does a number of things. First, it provides authentication. (Is the DNS record I'm getting a response for coming from the owner of the domain name I'm asking about or has it been tampered with?)

Не очень понятно, что здесь подразумевалось. Я слышал о той проблеме, что текущий DNS-протокол таков, что корневые DNS-сервера могут не делегировать резолвинг локальным DNS, владеющим доменами, а отвечать за них сами. В частности, это позволяет корневым серверам отбирать абсолютно любой домен, вне зависимости от того, где он зарегистрирован и какого он уровня (второго, третьего, четвёртого и т.д.). Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?

Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?

Частично ответ ясен: теоретически — да, а на практике резолвер будет возвращать что-то формальное, и уже приложение (например, браузер) должно думать, что с ним делать и запрашивать ли дополнительный вывод у резволвера. Решить эту DNS-проблему для всего, раз и навсегда просто формальным переходом на DNSSEC не получится, и, вообще, DNSSEC создавался для решения не этой проблемы, а для защиты от третьего атакующего на канале. Предполагалось, что этот протокол — для серверов, т.е. сами приложения вывод резолверов (а также подписи DNS-серверов в цепочке) проверять не будут.

Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?

Теоретически, вышестоящая DNS-зона может подделать любую нижестоящую запись — для этого надо пересоздать всю цепочку ключей вплоть до целевой зоны. Риск такого события не входит в модель угрозы.

Предполагалось, что этот протокол — для серверов, т.е. сами приложения вывод резолверов (а также подписи DNS-серверов в цепочке) проверять не будут.

Клиент DNSSEC — это и есть локальный резолвер; это не обязательно полноценный рекурсивный DNS-клиент, это может быть и минималистичный stub-резолвер (см. описание CD- и AD-битов DNSSEC). Да, приложения не проверяют правильность возвращаемых им ответов, но если локальная система не скомпрометирована, этим ответам предполагается возможным доверять, поскольку проверку цепочки подписей осуществляет локальный резолвер.

Откуда берутся публичные (или какие?) ключи для проверки цепочки подписей? Как DNS-клиент может убедиться в том, что «вышестоящая DNS-зона не подделывала нижестоящую запись» и «не пересоздавала всю цепочку ключей»?
P.S.: У многих толстых приложений, вроде бы, свой резолвер, если ничего не путаю — штатным резолвером не многие пользуются.

Примерный ответ: какие должны быть ключи — никто не знает, т.е. проверку ключей надо имплементить на стороне приложения и привязываться к какой-то совей модели проверки валидности ключей. На уровне firefox имеется вот такой addon, это проверяющий. Какие-то люди даже рассмотрели более сложный случай: возможность проверки самоподписного SSL-сертификата посредством публикации его отпечатка в DNS, при этом сам DNS защищён DNSSEC. Впрочем, DNSSEC содержит слишком много точек уязвимости — SSL лучше с его end-to-end, имхо.

Нда, согласно сайту аддона, http://www.dnssec-validator.cz, у большинства доменов дела тухло обстоят, даже если выбрать рекомендуемый nic.cz в качестве DNS-сервера в настройках аддона (прощай, приватность):









SATtva, почему домен pgpru.com не подписан?

SATtva, почему домен pgpru.com не подписан?

Потому что при наличии SSL-сертификата в этом нет существенного смысла. Это не значит, что смысла нет совсем (затрудняется организация подмены сертификата/домена, например), так что в принципе можно озаботиться этим вопросом.

Что-то у других уважаемых ресурсов из приведённого на картинках списка с этим тоже не очень.

Да, мне тоже не понятно почему. Обычно подписаны домены всяких там коммерческих компаний, связанных с CA.


Спасибо.

Но я только самого главного не понял: как dnssec-validator проверяет подписи в цепочке? Для этого же нужно либо доверие к какому-то эффективному центру сертификации, либо доверие к руками заданным отпечаткам, которые пользователь сам по доверенному каналу получил. А тут для кучи доменов и при этом в автоматчиеском режиме. Как такое может быть?

А, понял. Вопрос снят.

поставил OpenDNSCrypt. сидит в трее не кашляет. наверно работает )))

Для проверки — Wireshark.

поставил OpenDNSCrypt. сидит в трее не кашляет. наверно работает

Если вы про это, то версии под Linux вроде пока ещё нету, потому не протестировать :(