https://opennet.dev/openforum/vsluhforumID3/116661.html Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами и интернете, выступила с инициативой (https://www.icann.org/news/announcement-2019-02-22-en) повсеместного перехода на использование DNSSEC (https://ru.wikipedia.org/wiki/DNSSEC) для всех доменных имён. ICANN отмечает наличие значительного риска для ключевых частей инфраструктуры DNS, вызванного увеличением числа атак (https://www.opennet.ru/opennews/art.shtml?num=49937) на DNS-серверы и ростом связанной с DNS вредоносной активностью (https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/). <br><br><br>Последнее время фиксируется множество различных типов атак на DNS, от захвата доменов (https://www.opennet.ru/opennews/art.shtml?num=49744) через перехват параметров учётной записи к интерфейсу регистратора или DNS-сервиса, проводимых с целью изменения списка DNS-серверов или содержимого отдельных записей, до применения (https://www.opennet.ru/opennews/art.shtml?num=48494) BGP (https://www.op https://opennet.dev/openforum/vsluhforumID3/116661.html#99 Sun, 10 Nov 2019 21:28:47 GMT Opennet, включай DNSSEC.<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#98 Thu, 28 Feb 2019 11:09:52 GMT &gt; https://www.google.com/intl/en/ipv6/statistics.html - вроде взлетает потихоньку. <br>&gt; Больше четверти интернета уже на нём...<br><br>Еще лез 30 - глядишь 50-60% будет.<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#97 Wed, 27 Feb 2019 17:59:01 GMT Думаешь ты хоть капельку убедителен?<br>1. Юзеры и так сидели на гуглоднс десятилетия. 8.8.8.8 стандарт многих эникеев, хомяков и даже некоторых админов. С CF аналогично становится. Т.е. они и так имели доступ. Но помимо них все остальные по пути, от оператора и соседа-хацкера до неизвестных людей. Нет ничего плохого в том, чтобы запретить всем, кроме конечных гуглефляр, смотреть и фильтровать днс-трафик. Это полностью правильно.<br>2. Те, кто брезговал гуглефлярой в прошлые годы, могут делать это и с протоколами шифрования. Это стандарты, есть много открытых реализаций. DoH на своём сервере поднять особенно просто, в этом одно из основных преимуществ. Это тоже полностью правильно, запретить оператору и другим смотреть на днс-трафик между тобой и твоим сервером.<br>Где ты видишь усиление централизации? Она и так была с открытым днс десятилетия, не надо отрицать факты. И ситуация не меняется от шифрованных протоколов никак, кроме запрета третьим сторонам по пути трафика.<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#96 Tue, 26 Feb 2019 12:24:10 GMT да! А мы хотим чтобы эта возможность была только у нас!<br>Верьте нам, мы правильные ребята, ведь мы не живем на деньги, которые платите нам вы, в отличие от вашего опсоса, который спит и видит кому бы еще вас запродать. Верьте, мы - корпорации добра!<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#95 Tue, 26 Feb 2019 07:46:41 GMT DNSSEC это цифровые подписи удостоверяющие записи. Это уже хорошо само по себе.<br>Больше практической пользы лежит в базирующемся на нём DANE. К примеру, потенциально можно вообще отказаться от CA.<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#94 Tue, 26 Feb 2019 06:13:39 GMT к вопросу о полезности dnssec - если бы он был полноценно внедрен то ситуация вроде той что в презе ниже была бы невозможна<br><br>https://pc.nanog.org/static/published/meetings/NANOG75/1892/20190219_Gavrichenkov_Four_Years_Of_v1.pdf<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#93 Tue, 26 Feb 2019 04:28:50 GMT DNSCrypt 2 поддерживает DoH.<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#92 Tue, 26 Feb 2019 00:28:32 GMT https://www.google.com/intl/en/ipv6/statistics.html - вроде взлетает потихоньку. Больше четверти интернета уже на нём...<br> https://opennet.dev/openforum/vsluhforumID3/116661.html#91 Mon, 25 Feb 2019 19:07:37 GMT Как на win7 то doh или dot настроить? Все сводится к замене dns сервера, но от этого секурности не появится<br>