Securing a Domain: SSL vs. DNSSEC?

"Mindkettő kell" >> http://www.circleid.com/posts/securing_a_domain_ssl_vs_dnssec/

Egyéb infó:
http://wiki.debian.org/DNSSEC
https://unbound.net/

Teszteltem Win XP SP3 alatt is unbound-ot, jól működik. A Win-es telepítőnél nem kell a root key-vel szórakozni, felteszi magától. Gyakorlatilag 2 lépés: unbound win-es telepítővel feltesz + interface DNS átállítása localhost-ra.

Itt lehet tesztelni a DNSSEC-et: http://test.dnssec-or-not.org
szerk.: http://dnssectest.sidn.nl

(Figyelem, csak óvatosan! Működő DNSSEC esetén Borat képe néz vissza a teszt oldalról! ;))

( log69 | 2011. 05. 13., p – 22:15 )

egyéb hír forrás dnssec váltással kapcsolatban:
http://www.dnssec-deployment.org

úgy gondolják, hogy a lassú ISP regálás és korlátolt kliens programok miatt akár 2-5 évig is eltarthat az átállás.

Te én néztem a DNSSEC-et, hogy mi is kéne hozzá, hogy lehessen nagy mennyiségű domainnél telepíteni, a dolog bonyolultságából kiindulva szerintem, lesz az 10 év is. A Verisign a .com-os bevezetéssel együtt küldött e-mailt, hogy van nekik "zone signing" szolgáltatásuk, de nevetséges, domainenkénti 2 USD áron kínálják.

pénzért? az szép. azt gondolnám hogy az internetes főszervezetek felügyelik és az egész átállás meg key signing meg egyéb az ingyenes, és adnak hozzá infrastruktúrát ami elősegíti a teljes átállást - merthogy ugye ez "mindenki" érdeke lenne.

(de csak most mélyülök el az infóban).

ismereteim szerint pont a DNS poisoning ellen jelentene védelmet a DNSSEC. de nem lep meg ha 95%-ban anyagi a motiváció ez mögött is, és a közös érdek nem számít.

pont az csigázott fel ezzel az üggyel kapcsolatban, hogy sej de milyen jó, kulcs aláíró partikat tartanak meg terjesztik szépen az új protokollt, építik át az infrastruktúráikat a felsőbb érdekelt szervezetek, ISP-k stb. de ha ebből is dollárt vagy eurót akarnak kovácsolni első sorban, akkor csalódtam (illetve nem).