Когда я слышу о таких вещах меня начинает разбирать хохот. Большая часть электроники и софта под неё (да, это теперь часто неразрывно) либо разработано в США, либо лицензируется компаниями США, а нередко и произодится там же.
Как получается жить (точнее наоборот) без электроники США можно посмотреть на свежем примере мобильного подразделения ZTE.
Отказаться, конечно, можно. Но каков будет эффект от такого регресса в голову "политическим титанам" уровня господина Эрдогана, как правило, не приходит.
Вы очень кстати затронули тему CDN, хотя и не совсем в русле дискуссии по содержанию статьи. Мне кажется что степень опасности этих сервисов в части угроз приватности сильно недооценена.
Ситуация когда нет DNSSEC/DANE. Регистратор меняет ваши NS на свои и делает что хочет. TLS-сертификат тут не поможет — выпустит новый. DNS то под контролем.
Ситуация когда есть DNSSEC/DANE. Всё точно так же, только не надо обращаться к стороннему CA за сертификатом.
Ничего не меняется, за исключением выпадания CA из процесса.
Никто и не обещал что будет легко.
Вообще, конечно, DNSSЕС и иже с ним не самая простая и логичная технология.
Но кто без греха? ;-)
В любом случае, любить DANE надо лишь только за то, что она способна выпилить CA как лишнее звено.
Если у меня домен в зоне .com, то я из нее уже никуда не денусь.
Не надо передёргивать. Вы и сейчас никуда не денетесь.
Например, в России есть несколько зеркал корневых серверов. Я и уверен, что правительство при желании сможет отжать приватные ключи этих серверов.
Нет, не сможет. Это именно что зеркало.
Почитайте, кстати, как работают и как хранятся приватные ключ корневых серверов. Там всё как надо организовано.
Более того, я не нашел в DNSSEC ничего напоминающего списков отзыва или сроков валидности ключа.
Срок действия ключей не регламентирован, однако есть рекомендации по срокам и их ротации. Зато сами записи цифровых подписей (RRSIG) вполне себе сроки действия имеют. Именно с этим и связана необходимость периодической переподписи.
Ключи в онлайне хранить не надо, конечно же. Можете хранить в защищённом хранилище.
Но DNSSEC как раз приводит к централизации.
В смысле что всё замыкается на подпись корневой записи то да. Но нет в смысле децентрализации самой системы хранения и обмена ключами. DNS иерархичен но децентрализован.
Из, что вы сейчас перечислили, клиентским софтом в смысле потребителя информации DANЕ, являются только SMTP серверы, о которых я упомянул выше. Exim и Postfix её имеют точно.
Я, в общем-то, коротенько описывал это некоторое время назад в своём блоге. Там же есть и о том, почему DNSSEC так плохо внедряется. https://kostikov.co/tehnologiya-dane-bezopasnostj-cherez-dns
Когда я слышу о таких вещах меня начинает разбирать хохот. Большая часть электроники и софта под неё (да, это теперь часто неразрывно) либо разработано в США, либо лицензируется компаниями США, а нередко и произодится там же.
Как получается жить (точнее наоборот) без электроники США можно посмотреть на свежем примере мобильного подразделения ZTE.
Отказаться, конечно, можно. Но каков будет эффект от такого регресса в голову "политическим титанам" уровня господина Эрдогана, как правило, не приходит.
Большая часть разработчиков FreeBSD работают на Apple. Что, в общем-то, и понятно — MacOS оттуда сосёт код как в kernel, так и в userspace.
Кстати есть такой старый добрый BSD ресурс который может сильно помочь с выбором железа для *nix
http://dmesgd.nycbug.org/
"Старый" тут, обычно, ключевое слово.
Спасибо, интересная информация. Потому что владельцы обычно всего этого не пишут. Ну а тонкая настройка оно как же без этого на *nix?
Неправда ваша. Это один из самых, если не самый, совместимый по железу ноутбук. Настолько, что на Gen6 работает даже OpenBSD
Ценник на новинки равен цене на Thinkpad X1 который, при этом, выглядит вкуснее и технологичнее.
Признаться, меня темп этого "великого похода" уже начинает напрягать. Слишком уже много всего сложено теперь в эту большую корзину.
SNI это про TLS а не про QUIC. И даже в v1.3 TLS передаёт эту информацию открытым текстом.
Вы очень кстати затронули тему CDN, хотя и не совсем в русле дискуссии по содержанию статьи. Мне кажется что степень опасности этих сервисов в части угроз приватности сильно недооценена.
Что-то вы недопонимаете.
Ничего не меняется, за исключением выпадания CA из процесса.
Никто и не обещал что будет легко.
Вообще, конечно, DNSSЕС и иже с ним не самая простая и логичная технология.
Но кто без греха? ;-)
В любом случае, любить DANE надо лишь только за то, что она способна выпилить CA как лишнее звено.
Не надо передёргивать. Вы и сейчас никуда не денетесь.
Нет, не сможет. Это именно что зеркало.
Почитайте, кстати, как работают и как хранятся приватные ключ корневых серверов. Там всё как надо организовано.
Срок действия ключей не регламентирован, однако есть рекомендации по срокам и их ротации. Зато сами записи цифровых подписей (RRSIG) вполне себе сроки действия имеют. Именно с этим и связана необходимость периодической переподписи.
Ключи в онлайне хранить не надо, конечно же. Можете хранить в защищённом хранилище.
В смысле что всё замыкается на подпись корневой записи то да. Но нет в смысле децентрализации самой системы хранения и обмена ключами. DNS иерархичен но децентрализован.
В данном случае интересы Mozilla совпадают с Google (вспоминаем Firefox OS).
Из, что вы сейчас перечислили, клиентским софтом в смысле потребителя информации DANЕ, являются только SMTP серверы, о которых я упомянул выше. Exim и Postfix её имеют точно.
Я, в общем-то, коротенько описывал это некоторое время назад в своём блоге. Там же есть и о том, почему DNSSEC так плохо внедряется.
https://kostikov.co/tehnologiya-dane-bezopasnostj-cherez-dns
Действительно, на уровне "сервер DANE на ноуте" я говорить не готов.
Вы не понимаете проблематики, которую пытаетесь обсуждать.
Не хочу разбирать ваш пост по полочкам, чисто для примера.
Есть. Публичный ключ корневых серверов известен.
Ещё раз повторю свою просьбу.
Вообще-то они его поддерживают очень давно. Начиная с Windows Server 2008R2.
Главная проблема с DANE сегодня это его поддержка клиентским софтом, а точнее её отсутствие. Навскидку только основные SMTP серверы её и реализовали.