Какво ново?
От:
Подробно търсене…
SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Чехите ни изпревариха пак :)

D

danbi

New member
Тия чехи все пак успяха да ни изпреварят. Е, като процент още са назад, но.. имат прогрес. :)

http://www.nic.cz/page/715/

Според вас, каква е пречката за по-масово ползване на DNSSEC в България?
 
Re: Чехите ни изпревариха пак :)

danbi каза:
Тия чехи все пак успяха да ни изпреварят. Е, като процент още са назад, но.. имат прогрес. :)

http://www.nic.cz/page/715/

Според вас, каква е пречката за по-масово ползване на DNSSEC в България?
Увеличете...

Основната причина е, че поне 95% от хората не са запознати с тази технология.

Чехите имат много добра обяснителна страница - dnssec.cz - може би и вие трябва да пуснете такава.

Трябва да проведете и нещо като обучителна среща с основните хостинг компании у нас, може да се навият да започнат работа по DNSSEC.
 
Re: Чехите ни изпревариха пак :)

М да, и да обяснят какво е RRSIG запис и DNSKEY. Те още SSL сертификатите идват на мода едва едва, пък какво остава да обясняваме на клиента какво е криптиран пренос на данни през DNS. Иначе като замисъл е супер, ще се приеме добре, стига и cPanel да го поддържат добре, че като гледам за сега не са очаровани от идеята, а много от необходимите записи за да се ползва DNSSEC липсват.
 
Re: Чехите ни изпревариха пак :)

Според мен, основния проблем за масово навлизане на DNSSEC извън TLD регистрите е нуждата от специализирана инфраструктура, процедури и дисциплина. Все неща, които принципно липсват при DNS хостинг компаниите (с малки изключения).

От друга страна, зачестяват издънките свързани с DNS през последните години -- или по-скоро публикациите по темата - издънките си ги има отдавна и по дизайн. Това ще принуди по-сериозните играчи на пазара да го внедрят.

Колкото до cPanel -- не би трябвало да е проблем да се направи. Не са само липсващите записи обаче -- за да функционира DNSSEC е нужна доста автоматизация. А тя е извън редактора на записите.
 
Re: Чехите ни изпревариха пак :)

danbi каза:
Все неща, които принципно липсват при DNS хостинг компаниите (с малки изключения).
Увеличете...

Да не казвам колко хиляди долара искаха от DYN.com за поддръжка на DNSSEC - било само за бизнес клиенти... Във версията им за крайни клиенти нещата се "разработват" от година.

IronDNS , които ще предложат по-човешки цени са в някакъв етап на вътрешни тестове от много време.
 
Re: Чехите ни изпревариха пак :)

Хехе, ами да предложим консултация или дори готово решение? :)

Между другото, има комерсиално решение, нарича се Secure64. Аз лично не съм му фен, но хората твърдят, че работи.
 
Re: Чехите ни изпревариха пак :)

Мда, СУ е един от успешните ни проекти. Май ще се окаже едно от малкото учебни заведения, където все още има някакво развитие.

Повечето неща, особено с внедряването на DNSSEC са всъщност тривиални и по силите на масовия админ.

За съжаление, много от хостинг компаниите ползват готови софтуерни пакети (например cPanel/WHM) където управлението на DNS е интегрирано -- и в тези случаи съответния админ няма особен избор.
 
Re: Чехите ни изпревариха пак :)

danbi каза:
За съжаление, много от хостинг компаниите ползват готови софтуерни пакети (например cPanel/WHM) където управлението на DNS е интегрирано -- и в тези случаи съответния админ няма особен избор.
Увеличете...

Да не мислиш, че всички хостинг д оставчици са доволни от този факт :) но все пак щом клиента иска cpanel трябва да имаш cpanel.
 
Re: Чехите ни изпревариха пак :)

И от всичко това единствената полза е евентуално по добра защита от spoof атаки? Или пропускам нещо? Защото доводите, които изчетох до момента са убедителни точно колкото необходимоста от електронен подпис за работа с регистър.бг.
 
Re: Чехите ни изпревариха пак :)

Не по-добра, а решаване на задачата.

За съжаление, по времето когато DNS се налагаше, криптографията беше сложен казус и стандартизирането в световен мащаб си беше дилема. То не, че сега руснаците не извадиха бяла мишка от ръкава с ГОСТ, но нещата са по-управляеми.

Проблема със спуфа е, че без DNSSEC може да бъде спуфнато всичко -- включително и SSL сесия. Посещаваш сайт за електронна търговия примерно, но всъщност си говориш с друг, който проксира трафика ти към реалния сайт. Ти виждаш всичко което би трябвало да виждаш.. но данните ти се обработват от друга. Примерно.

За работа с регистър.бг електронен подпис не е необходим. Той е просто едно удобство.
 
  • Like
Реакции: ragi
Re: Чехите ни изпревариха пак :)

И ако мога да ти спуфна SSL(т.е. физически съм man in the middle), какво ми пречи да го направя с DNS? Не виждам да ме спира нещо. Това, че са подписани записите, с нищо не ме спира да ги подменя всичкитер например с NAT през мое DNS прокси. Нещо или пропускам или е поредния фишек. Кажи каква е идеята конкретно, защото просто подписани DNS записи не струват пукната пара?
 
Re: Чехите ни изпревариха пак :)

Идеята е, че криптографската верига (проверката на подписите) съвпада с веригата на делегация. При SSL това не е така. При SSL ти разчиташ на записани на компютъра ти 'root' сертификати. Те са много и поради това, нямаш начин да си сигурен, че всичките те са верни.

По същество SSL е анонимна услуга. Вярно, че 'на сертификата пише на кого е' но какво от това? Цените на 'проверените' сертификати са безумни, затова 'нормалните' администратори на сайтове не ги ползват. На всичкото отгоре, процедурата по проверка също е безумна и доста безсмислена.

За разлика от това, тъй като в DNSSEC веригата на сертификация следва веригата на делегация, то е ясно на кого принадлежи подписа. При правилна реализация на DNSSEC нищо не може да бъде фалшифицирано.

Тук разбира се, идваме до двата основни опонента на DNSSEC :)

Издателите на SSL сертификати, на които поради разпространението на DNSSEC и съпътстващата образователна програма на много места им лъсва задника. Освен, че самия протокол се оказва голяма издънка (т.е. изобщо не е сигурен), се оказва, че те дълги години са ти вземали много пари за нищо.

Операторите на 'общи' TLD. Както много добре знаете, за тези хора, 'повече продажби, по добър TLD'. Но повечето продажби(*) в случая се случват, защото липсва идентификация на кого е продадено. Те не знаят на кого са регистрирали домейна. Поради това няма как да знаят и кой ще го подписва. Тези хора в момента са в небрано лозе, защото хем много им се иска да не изостават от прогреса, респективно конкуренцията, хем нямат идея какво да направят.

Тези хора дълго бавиха процеса на подписване на root зоната, който е ключов за масовото внедряване и практическо използване на DNSSEC. Но се оказа отново, че конкуренцията е хубаво нещо и .. ще им изиграе лоша шега. Някои от тях решиха, че могат да се прикрепят към малката ни групичка на внедряващи тази технология и да си направят хубав PR. Е, направиха го. Ние всъщност сме им благодарни за това, че се появи сериозен натиск за подписване на root зоната. Сега ще им се наложи много спешно и наистина да внедрят DNSSEC --- а това ще поведе със себе си и някои промени в регистрационните практики -- все в сферата на празните приказки които ви говоря ;-)

(*) принципно става въпрос за услуга, но за много от тези хора нещата се свеждат до проста търговия.
 
Re: Чехите ни изпревариха пак :)

Между другото, за да ти бъде спуфнат SSL сертификата изобщо не е нужен физически достъп до инфраструктурата ти. Постига се много по-лесно с инжектиране на маршрути по BGP --- един от феномените на "искам и аз да съм Интернет доставчик". От друга страна, всичко това движи много сериозно прогреса, за развитие на нови протоколи.
 
Re: Чехите ни изпревариха пак :)

nikoladd каза:
И ако мога да ти спуфна SSL(т.е. физически съм man in the middle), какво ми пречи да го направя с DNS? Не виждам да ме спира нещо. Това, че са подписани записите, с нищо не ме спира да ги подменя всичкитер например с NAT през мое DNS прокси. Нещо или пропускам или е поредния фишек. Кажи каква е идеята конкретно, защото просто подписани DNS записи не струват пукната пара?
Увеличете...

То всичко се свежда до "разчитането" на подписа. Ако кодът за проверка не се чете по интернет, а примерно идва с инсталацията - тогава няма начин за измама. Примерно update-тите на Windows са си сигурни, защото няма как да знаеш криптиращия код - това което идва си е точно от MS.

DNS няма криптиращи механизми, не защото криптографията не е била налице, а защото интернет е направен така да се каже в "лабораторен вариант" - важното е да върви, а после ще го мислим... Първият алгоритъм за електронен подпис е от 1976 - алгоритъма RSA. При желание са можели да го приложат (е вярно той е доста бавен, а и в последвстие се е оказал малко несигурен).
 
Re: Чехите ни изпревариха пак :)

Както коментирах по-рано проблема с прилагането на криптографията в Интернет (на ниво инфраструктура) произлиза от експортния режим на криптографските устройсва и софтуерз за САЩ. Поради попадането им в списъка на неща с двойна употреба (гражданска и военна). В последствие (1996-а май беше) тази безсмислица отпадна.

Идеята на DNSSEC протокола е именно такава -- т.н. "root ключ", или сертификат, да се разпространява заедно с инсталацията на операционната система.

Наличието на надежден DNS ще позволи ползването на доста протоколи, които в момента са неприложими.
 
Re: Чехите ни изпревариха пак :)

Ок. Значи всъщност освен ако не се въведе повсеместно по цялата верига:
root certificate->domain certificate->protokol->client е напълно безполезно.

Относно криптография няма какво да ми обяснявате. Занимавал съм се доста с математиката зад симетрични и асиметрични алгоритми за кодиране ;) Въпросът ми беше чисто за приложението и отговора, който ми даде Danbi не показва шансове за подобряване на надежноста близкото десетилетие. Най малкото браузъра на телефона ми не поддържа тази екстра. Следователно и много други. Следователно първо ще отпадне IE7 преди да се затвори веригата. Следователно дайте първо да изкараме 2012 ;) пък ще видим.

Малко се изсилват ДНС-аджиите с тая инициатива според мен. Никой не ги бръсне достатъчно, че да я прекарат на ниво клиенти.
 
Re: Чехите ни изпревариха пак :)

Проблема всъщност е като с яйцето и кокошката. Кое да създадем първо.

В случая, след толкова много време "мотане", решението е ясно: DNSSEC ще се наложи административно (държавните служби в САЩ вече са задължени да го ползват). Междувременно се разработват приложенията.

По-миналата година се срещах с един високопоставен директор по развоя на Майкрософт и той се кълнеше, че Windows 7 ще дойде с вградена поддръжка на DNSSEC.
Ако историята с внедряването на TCP/IP във Windows 95 се повтори, изобщо няма да се учудя.
 
Re: Чехите ни изпревариха пак :)

Къде забравиха .bg? :)

SWITCH, the registry for .CH and .LI domain names, enabled DNSSEC on day two of the annual Domain Pulse conference in Luzern yesterday. SWITCH became the third ccTLD registry to enable DNSSEC giving registrants of .CH domain names added security following .SE (Sweden) and .CZ (Czech Republic).
Увеличете...

http://domainnews.com/en/swiss-among-world-leaders-in-enabling-dnssec.html
 
Re: Чехите ни изпревариха пак :)

Не им е удобно. Сега въвеждат неща,които ние имаме напълно внедрени без 2007-а.

Дори шведите, едва есента на миналата година обявиха, че платформата им за предлагане на DNSSEC услуги е завършена (беше възложена като поръчка на няколко лабораторни групи).

Няма ни дори в последния доклад на ENISA, макар че лично участвах в работните срещи. Туй не е български синдром.

А последното изпълнение което чух, беше "Не може това да е направено в България -- тази технология е само за богати и развити страни!" -- направено от доста високопоставени лица в телеком индустрията.

Та... ако не знаете: живеете в доста богата и развита страна :)
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе