[Metalab] Netzsperrdiskussionen...
Benedikt Gollatz
ben at differentialschokolade.org
Tue Jun 15 20:20:08 CEST 2010
On Tuesday, June 15, 2010, 19:37 Thomas Themel wrote:
> Excerpts from Robert Maier's message of Tue Jun 15 19:20:27 +0200 2010:
> > Und was hat DNSSEC damit am Hut ? dem kann ich jetzt nicht folgen.
>
> Der deutsche Ansatz war, Anfragen auf "gesperrte" Hostnamen zu einem
> Stoppschild-Server zu redirecten, indem man eine gefälsche DNS-Antwort
> schickt.
>
> In DNSSEC bräuchte man zum Generieren einer solchen gefälschten Antwort
> AFAIK den Key des Domaineigentümers, was wohl allgemein nicht gehen wird.
Wenn man falsch oder nicht signierte Records einer signierten Zone ausliefert,
ist die Zone dennoch nicht erreichbar und damit die Sperre wirksam. Außerdem
wirkt DNSSEC ledglich auf der Strecke zwischen Recursor und Zonenserver. Der
Stub Resolver auf der eigenen Maschine kann kein DNSSEC, und der Recursor
steht ja meistens gerade bei deinem ISP, der zensieren soll.
DNSSEC ist da, um Cache Poisoning zu unterbinden, nicht um die gesamte Strecke
zwischen Zonenserver und User abzusichern; dazu bräuchte man noch IPsec oder
ähnliches.
tl;dr: DNSSEC und Internetzensur sind genauso kompatibel wie normales DNS und
Internetzensur.
More information about the Metalab
mailing list