<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Jun 15, 2010, at 20:20 , Benedikt Gollatz wrote:</div><br><blockquote type="cite"><div>Wenn man falsch oder nicht signierte Records einer signierten Zone ausliefert, <br>ist die Zone dennoch nicht erreichbar und damit die Sperre wirksam. Außerdem <br>wirkt DNSSEC ledglich auf der Strecke zwischen Recursor und Zonenserver. Der <br>Stub Resolver auf der eigenen Maschine kann kein DNSSEC, und der Recursor <br>steht ja meistens gerade bei deinem ISP, der zensieren soll.<font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#144FAE"><br></font></font></div></blockquote><div><br></div>Windows 7 hat DNSSEC Validation Support im Stub Resolver. Andere Betriebssysteme werden wohl nachziehen sobald es relevant wird.</div><div><br></div><div>Natürlich kann man mit falschen bzw. nicht existenten Records noch ein Denial of Service verursachen, aber meine starke Vermutung ist dass das den betreffenden Kreisen nicht genügen wird. Die Zensur wird ja momentan sehr stark am "Informieren & Abschrecken" festgemacht, und das ist dann nicht mehr gegeben.</div><div><br><br><blockquote type="cite"><div>DNSSEC ist da, um Cache Poisoning zu unterbinden, nicht um die gesamte Strecke <br>zwischen Zonenserver und User abzusichern; dazu bräuchte man noch IPsec oder <br>ähnliches.<br></div></blockquote></div><br><div>Um das in Kontext zu setzen: Die Integrität jeder Antwort wird gewährleistet, ja. Einzelne Pakete lassen sich allerdings noch immer leicht rausschiessen, allerdings nicht mehr umschreiben.</div><div><br></div><div>lg,</div><div>Michael</div></body></html>