Non sono sicuro che la RFC supporti un'implementazione IPSec-only del DNS, ma in caso affermativo, che cosa significa per DNSSec?
DNSSec è una tecnologia solo IPv4?
Non sono sicuro che la RFC supporti un'implementazione IPSec-only del DNS, ma in caso affermativo, che cosa significa per DNSSec?
DNSSec è una tecnologia solo IPv4?
DNSSEC fornisce qualcosa di diverso da IPSec e uno o entrambi possono soddisfare le tue esigenze. IPSec può crittografare i pacchetti e firmarli, fornendo la prova che provengono da qualcosa di cui ti fidi, SE hai una PKI (Public Key Infrastructure) di cui ti puoi fidare. Ma quel "SE" è un ordine molto alto, soprattutto data la presenza in questi giorni nei più comuni archivi di certificati predefiniti "fidati" di certificati radice controllati da governi stranieri di cui non mi fiderei di sicuro.
Se desideri solo una VPN privata, utilizzando solo i tuoi certificati e le tue reti e i tuoi server DNS, IPSec può fornire ciò che desideri. Ma se vuoi scoprire dalla rete pubblica dove inviare i tuoi pacchetti in primo luogo, vale a dire tramite una mappatura sicura dai nomi di dominio agli indirizzi IP, questo è ciò che DNSSEC è per.
Nota anche, arrivando in un futuro non troppo lontano (speriamo) il gruppo di lavoro Keys In DNS (kidns) quasi formato della Internet Engineering Task Force, che aiuterà a integrare questi e altri protocolli di sicurezza in un modo che aggira l'attuale palude di "Autorità di certificazione": link
Aggiornamento : la proposta sui gruppi di lavoro di kidns è stata adottata sotto il nome DANE: Autenticazione basata su DNS di entità denominate . Ha scritto RFC6698 che è stato implementato in alcuni strumenti e librerie e nelle estensioni del browser, ma non è diventato una caratteristica del browser mainstream.
Tecnologie alternative come certificato pinning (secse) potenzialmente aiutato da HTTP Strict Transport Security hanno contribuito a risolvere i problemi sottostanti.
La sezione DNS della pagina IPv6 di Wikipedia non ha nulla a difesa delle risposte DNS fasulle, quindi sembra che DNSSec è ancora necessario.