[BraLUG] Vortrag: WebPKI Revisted

[andre]

On 06/30/2014 11:38 PM, Michael Kuerschner wrote:
> Danke, lese ich alles durch.
Viel Spaß ;) ich versuch das demnächst auch mal auszurollen
>
> Gibt es eigentlich DNS Provider, die DNSSec schon richtig machen? Man 
> betreibt ja für seine Seite/Domain nicht immer einen eigenen DNS Server.
Weiß man nich so genau, es wurde versucht eine Liste zu pflegen, aber 
die ist arg unvollständig. Viele können das auch nur "heimlich". Sprich 
bewerben es net, bieten es aber kostenfrei an. Immerhin geht die DE -Zone.

Das Problem ist ja, dass du den die DS-Records bei deinem Registrar 
abkippen musst und der gibt es zur Denic.

Wenn du eine TLD hast, die nicht signiert ist, kannst ja den DLV-Service 
nutzen https://dlv.isc.org/ ;) das ist ein trust anchor um unter der 
(nicht signierten) Root Zone signieren zu können ;)


Die andere Frage ist, ob dein Resolver das auch kann. In nem kurzen 
test, tut der google DNS das wohl, aber opendns nich.

Grüße
Andre
> Gruß
> Micha

>
>
> 2014-06-30 1:35 GMT+02:00 André <andre at monsterpenguin.de 
> <mailto:andre at monsterpenguin.de>>:
>
>     Huhu,
>
>     >> Danke, dass welche da waren! :)
>     >Danke das ich dabei sein durfte. Denkst Du noch an die DNSSec
>     bind Link?
>     Klar, musste den n bissl suchen.
>
>     Die hier haben wohl Informationen über Deployment grad und sowas:
>     http://dnssec-deployment.org/
>
>     Ansonsten wirst du vermutlich bei deploy360 fündig:
>     http://www.internetsociety.org/deploy360/dnssec/
>
>     Das ist eine Iniative der ISOC um sp deployment geschichten zu
>     pushen... RFC
>     zu entwerfen und weiterzuentwickeln ist ja eine Sache, aber das
>     hat den Fokus
>     aufs deployment.
>
>
>     Ich selbst nutz ja auf meinen Notebooks unbount als resolver:
>     https://unbound.net/documentation/howto_anchor.html
>
>     Was zu beachten ist, dass die meisten Clients das wohl ignorieren.
>     Chrome
>     konnte das mal, da ist es aber anscheinend wieder rausgeflogen.
>     Für Firefox
>     und CHrome gibts ein Plugin: https://www.dnssec-validator.cz/
>
>
>     Für alle die nicht wissen warum man DNSSec nutzen sollte =>
>     http://www.extremetech.com/internet/179074-turkey-becomes-first-nation-to-block-google-dns-claims-twitter-is-groveling-at-its-feet
>     ;)
>     oder wer es technischer mag:
>     http://www.internetsociety.org/deploy360/blog/2014/04/turkish-hijacking-of-dns-providers-shows-clear-need-for-deploying-bgp-and-dns-security/
>
>     Wer sich um die DNS-Amplication Attacks sorgen macht findet hier einen
>     interessanten Ansatz zur Mitigation:
>     http://lutz.donnerhacke.de/Blog/DNS-Dampening
>
>     Ich hoffe das reicht erstmal, andere links konnt ich dem chromium
>     grad nicht
>     entlocken, sollt ich auf dem andern Notebook noch was finden, pack
>     ich die
>     dazu.
>
>     Grüße
>     Andre
>
>
>
>
> -- 
> Beat me, whip me, make me use Windows!