[GTER] DNS over HTTPS (DoH): fim dos recursivos locais e a Internet andando para trás?

Douglas Fischer fischerdouglas at gmail.com
Mon Apr 2 11:12:39 -03 2018


Em 2 de abril de 2018 10:39, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2018-04-02 9:44 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
>
> DNSSEC não resolve hijacking de recursivo, resolve apenas adulteração de
> zona DNS. Se eu faço uma pergunta para o 8.8.8.8 que não é do Google, e a
> resposta vier com os RRSIGs apropriados, não vou saber que não foi o Google
> que buscou eles para mim.
>
​Putz, pra falar a verdade nunca testei DNSSEC usando NameServer com IP
Spoofado.
Sempre imaginei que, se em DNSSEC, houvesse uma validação do IP+Nome+Chave
do servidor que entregava a resposta.

Equívoco meu.
​


> DNSCrypt, DNS sobre TLS e DNS sobre HTTPS permitem eventual validação do
> recursivo, mas não são todas as implementações que fazem isso.

C
​onfesso que essa é uma área que eu preciso me familirizar...​
Mas já de cara fico pensando nos "Xabus" que essas técnicas vão trazer para
serviços de HotSpot.
​

​..
..
​

O pessoal de browsers não ficou muito empolgado com o tempo de lookup
> adicional para fazer isso.
> Tanto que a possibilidade atual sendo desenvolvida para isso é de stapling.
>
​Parei de acompanhar essa conversa, mas me lembro da galera da Mozilla
fazendo maior barulho contra.​

​​

​..
..
​

Ainda há propostas de APIs com controle mais granular do que simplesmente
> gethostbyname();.
>
​Faz sentido! Tomara que decole!​


-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list