<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html;

      charset=windows-1251">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p><font face="SFNS Display">Дима, я правильно понимаю, что DNSSEC -

        удел нердов?</font></p>

    <p><font face="SFNS Display">В каких домашних маршрутизаторах это

        всё поддерживается?</font></p>

    <p><font face="SFNS Display">Ну и сколько домашних хомячков на винде

        (а) включат и (б) внимательно проверят, что всё путьком?</font><br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 5/30/17 7:09 PM, Dmitry Kohmanyuk

      wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:14AAFC55-A25C-44AC-9B25-2D45AE642F83@hostmaster.ua">

      <pre wrap="">On 30 трав. 2017 р., at 16:02, Sergey Myasoedov <a class="moz-txt-link-rfc2396E" href="mailto:sm@netartgroup.com"><sm@netartgroup.com></a> wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">

</pre>

        <blockquote type="cite">

          <blockquote type="cite">

            <pre wrap="">блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают “что случилось”.

</pre>

            <blockquote type="cite">

              <pre wrap="">Если включен DNSSEC, то никакой подмены на уровне DNS не получится.

</pre>

            </blockquote>

            <pre wrap="">Это шутка? Много ли клиентов ISP держат у себя валидирующий резолвер?

</pre>

          </blockquote>

        </blockquote>

      </blockquote>

      <pre wrap="">

Достаточно много ISP *в мире* так делают и некоторые из них не отвечают данными из подписанного домена, если подпись RRSIG не сошлась с хешем из DS.

Но да, это в "развитых" странах, не в xSU.

</pre>

      <blockquote type="cite">

        <blockquote type="cite">

          <pre wrap="">Т.е. ты хочешь сказать, что если домен подписан, то можно поменять его IP и все будет работать?

Я правильно тебя понял?

</pre>

        </blockquote>

      </blockquote>

      <pre wrap="">

Можно теоретически даже подписать домен и надеяться, что прокатит :)

</pre>

      <blockquote type="cite">

        <pre wrap="">Я хочу сказать, что если ты доверяешь своему провайдеру в вопросе DNS или твой провайдер перехватывает твои DNS-запросы и отвечает на них сам (есть и такие), естественно, ставя нули в нужных битах - можно подменять адрес хоть google.com и всё будет работать.

</pre>

      </blockquote>

      <pre wrap="">

Пока клиент не проверяет бит AD - да.

Или если провайдер его подделывает.

В идеале нужно TLS transport до ISP и далее валидация. Или сразу у клиента свой stub+cache resolver с DNSSEC.

Но тогда проще свой unbound поставить на ноутбук или на роутер с openwrt. 

_______________________________________________

uanog mailing list

<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

<a class="moz-txt-link-freetext" href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Volodymyr Litovka

  "Vision without Execution is Hallucination." -- Thomas Edison

</pre>

  </body>

</html>