<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div></div><div>On 30 трав. 2017 р., at 23:33, Volodymyr Litovka <<a href="mailto:doka.ua@gmail.com">doka.ua@gmail.com</a>> wrote:</div><div><br></div><blockquote type="cite"><div>
<meta http-equiv="Content-Type" content="text/html;
charset=windows-1251">
<p><font face="SFNS Display">Дима, я правильно понимаю, что DNSSEC -
удел нердов?</font></p></div></blockquote><div>Ну как IPv6 примерно. Разбираться сложно, а если сразу работает - все ок.</div><blockquote type="cite"><div>
<p><font face="SFNS Display">В каких домашних маршрутизаторах это
всё поддерживается?</font></p></div></blockquote><div>Я же говорю - в openwrt :) ставишь сам :)</div><blockquote type="cite"><div>
<p><font face="SFNS Display">Ну и сколько домашних хомячков на винде
(а) включат и (б) внимательно проверят, что всё путьком?</font><br></p></div></blockquote><div>Если у провайдера DNS делает валидацию - ничего делать не надо. </div><div>Один из таких провайдеров - Google.</div><blockquote type="cite"><div><p>
</p>
<div class="moz-cite-prefix">On 5/30/17 7:09 PM, Dmitry Kohmanyuk
wrote:<br>
</div>
<blockquote type="cite" cite="mid:14AAFC55-A25C-44AC-9B25-2D45AE642F83@hostmaster.ua">
<pre wrap="">On 30 трав. 2017 р., at 16:02, Sergey Myasoedov <a class="moz-txt-link-rfc2396E" href="mailto:sm@netartgroup.com"><sm@netartgroup.com></a> wrote:
</pre>
<blockquote type="cite">
<pre wrap=""></pre>
<blockquote type="cite">
<blockquote type="cite">
<pre wrap="">блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают “что случилось”.
</pre>
<blockquote type="cite">
<pre wrap="">Если включен DNSSEC, то никакой подмены на уровне DNS не получится.
</pre>
</blockquote>
<pre wrap="">Это шутка? Много ли клиентов ISP держат у себя валидирующий резолвер?
</pre>
</blockquote>
</blockquote>
</blockquote>
<pre wrap="">Достаточно много ISP *в мире* так делают и некоторые из них не отвечают данными из подписанного домена, если подпись RRSIG не сошлась с хешем из DS.
Но да, это в "развитых" странах, не в xSU.
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre wrap="">Т.е. ты хочешь сказать, что если домен подписан, то можно поменять его IP и все будет работать?
Я правильно тебя понял?
</pre>
</blockquote>
</blockquote>
<pre wrap="">Можно теоретически даже подписать домен и надеяться, что прокатит :)
</pre>
<blockquote type="cite">
<pre wrap="">Я хочу сказать, что если ты доверяешь своему провайдеру в вопросе DNS или твой провайдер перехватывает твои DNS-запросы и отвечает на них сам (есть и такие), естественно, ставя нули в нужных битах - можно подменять адрес хоть <a href="http://google.com">google.com</a> и всё будет работать.
</pre>
</blockquote>
<pre wrap="">Пока клиент не проверяет бит AD - да.
Или если провайдер его подделывает.
В идеале нужно TLS transport до ISP и далее валидация. Или сразу у клиента свой stub+cache resolver с DNSSEC.
Но тогда проще свой unbound поставить на ноутбук или на роутер с openwrt.
_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</div></blockquote></body></html>