Здравствуйте, vsb, Вы писали:
vsb>>>DNSSec требует клиентской конфигурации?
N>>На финальном клиенте — нет, такие обычно ходят к рекурсивному резолверу серверной фермы или провайдера.
N>>Тому тоже усилий минимум — разве что включить обязательность проверки по DNSSEC, где есть соответствующие записи.
vsb>Такой вариант мало полезен. Резолвер там может что угодно возвращать, ему веры нет.
Почему это "резолвер может что угодно возвращать"? Где вы видели такие проблемные резолверы?
vsb> Проверять всю криптографию должна конечная программа и никак иначе.
Можно установить и удостоверенную связь с резолвером. А что значит "всю" криптографию? Корректность данных файловой системы из пакета ca-certificates она тоже будет проверять на каждом запуске? И на основании чего собственно?
vsb> Хотя, полагаю, достаточно просто пользоваться https://1.1.1.1/ прямо внутри бинарника того же ssh для разрешения имён. Но это тоже сделать надо.
Полагаться на публичный резолвер плохо:
1) Может просто выйти из строя или быть выключен, гарантии работы нет.
2) Иногда перегружен.
3) Ничего не знает про имена локальных сетей.
4) В случае проблем настройки DNS не позволяет ставить даже временные обходы этих проблем (типа форвард-зон с конкретным ремотным ответственным).
vsb>>>А вообще с DNSSec в теории и УЦ не нужны. Но на практике браузеры не поддерживают, видимо есть до сих пор не решённые проблемы с этим.
N>>Просто X.509 появилась существенно раньше.
vsb>Тем не менее до появления letsencrypt был некий локальный кризис HTTPS, когда бесплатные провайдеры были очень сомнительного качества, а платные хотели денег. С letsencrypt, конечно, всё стало проще, но всё же часть людей предпочли бы не зависеть от этого сервиса. Так что определённый спрос на такой функционал точно есть. За себя могу сказать, что я бы точно предпочёл этот вариант.
Я тоже. Но меня одного точно не хватит на исправление.
С DNSSEC проблема в сложности конструкции и как следствие — слишком медленном развитии.
Ожидаю, что кто-то сделает софт для облегчения управления, но пока не видел.
