RFC 8484 (DNS přes HTTPS) (diskuse)

AbcLinuxu:/ Zprávičky / RFC 8484 (DNS přes HTTPS) / RFC 8484 (DNS přes HTTPS) (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

21.10.2018 08:10 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Odpovědět | Sbalit | Link | Blokovat | Admin

Ďalšia užitočná konkurencia DNSSEC, ktorá povolí cenzúru?

21.10.2018 11:12 futurolog
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Obchadzanie anonymnych DNSiek ...

21.10.2018 13:18 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Myslíš tých anonymných DNSiek u poskytovateľov internetu ktoré majú za úlohu on the fly upravovať odpovede? K tomu stačí pre to nové DNS over HTTPS aby bola odpoveď podpísaná od národnej autority, a cenzúra je zlegalizovaná a zneviditeľná.

21.10.2018 15:09 futurolog
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Nie, myslim anonymné DNSka [1] [2]...

21.10.2018 17:25 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Tak zrovna tie majú rovnaký popis ako 8.8.8.8 alebo 1.1.1.1.

21.10.2018 15:32 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Odpovědět | Sbalit | Link | Blokovat | Admin

Hm, za chvili poslou i TCP/IP pres HTTPS a pak se zatocime v takovym kruhu, ze se mi uz ted mota hlava. Jsem sam, komu tohle vymejsleni lidi od browseru pripada cim dal vic padly na hlavu? A teda nejen lidi od browseru, Mozilla, ta politicky korektni organizace hrajici vic nez prorezimni hru... Jeste jsou tu mnohem horsi Do No Evil (tm) Googlisti s Chrome a Gmailem a pocitem, ze jim do musli k snidani jako firemni benefit pridavaji namlete Salamounovo h... Meh. Ono se s tim dost blbe neco dela, ono se totiz rekne, ze IETF apod. procesy jsou verejne, mas se zapojit... Ale ma clovek realne sanci se pridat k lidem, kteri jsou od techhle Velkych Brasku zaplaceni na fulltime vc. proplacenych letenek a hotelu do tech nejlevnejsich destinaci na svete, kde se ty standardy tvori... Pripominkovaci proces mailem ovlivni tak prd, kdyz je polozena otazka i nasledna debata od zakladu spatne. Why the fuck would anyone need DNS over HTTPS? Why....

--- vpsFree.cz --- Virtuální servery svobodně

21.10.2018 15:37 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Vzdyt WebSocket mame uz dlouho :).

21.10.2018 15:51 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Jeste jsou tu mnohem horsi Do No Evil (tm) Googlisti s Chrome a Gmailem

Google na to jde trochu jinak, ten pro změnu snaží všechny stávající mechanismy obejít a tlačí QUIC.

21.10.2018 19:27 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Jo, no. Nebo AMP... chtelo by to nejakym decentralizovanym search enginem, kterej se lidem bude chtit nechat zapnutej, Google zirelevantnit, jsou velmi zly sluha, ale jeste horsi pan...

--- vpsFree.cz --- Virtuální servery svobodně

22.10.2018 02:27 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Related: https://searx.me/, http://yacy.net/en/index.html.

blog.rfox.eu | DREAMLAND

21.10.2018 18:38 Bubak | skóre: 16 | blog: Čtvrtá cenová
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Aha, tak nejsem sam, koho po precteni prvni napadlo "Proc???"

... máš jen mrtvou kočku a poškrábanýho jezevčíka ...

21.10.2018 19:03 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Což o to, na to je odpověď celkem jasná. Umožní to schovat DNS dotazy před někým, do by jejich sledováním mohl vidět, po jakých webech browsíte, a podvržením vás nasměrovat někam jinam, ať už je to ISP, zaměstnavatel, strýček Sam, strýček Voloďa, strýček Andrej nebo kdokoli jiný. Je tam samozřejmě řada technických otázek, které už jsou méně jasné. A pak také jedna filosofická otázka, zda (ne)důvěřujete víc svému ISP nebo firmě dodávající váš prohlížeč. :-)

21.10.2018 19:23 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

DNS over TLS?

--- vpsFree.cz --- Virtuální servery svobodně

21.10.2018 19:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Netvrdil jsem, že je to dobré řešení nebo dokonce nejlepší řešení. Jen jsem odpovídal na otázku "proč".

21.10.2018 19:42 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Jasne, a ja se ptam prave, proc, kdyz mame toto ^? Furt mi to nedopina, ten posledni odstavec v Introduction ctu jako “o TLS jsme nevedeli a tady mate druhou zastupnou trapnou vymluvu, everything over HTTPS, welcome to the future”. Proc by jako browser nemohl prosim pekne poskytovat API k systemovym zpusobum, jak se ptat DNS serveru? Na mne to uplne pusobi tak, ze tyhle veci teda uz moc nestranne vyvijeny nejsou, ze to korporatni prachy prevalcovaly a vlastne uz neni moc cesty zpet, jedine zase cele toto pekne HTTPS vc. Googlu a Mozilly znepotrebnit z uplne noveho vektoru, co zas vrati “power to the people”, na chvili.

--- vpsFree.cz --- Virtuální servery svobodně

22.10.2018 00:52 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Podle mě je cílem Google hlavně to, aby se na HTTPS nedalo a nesmělo sáhnout, protože pak budou moci všude protlačit svoje služby, i když o ně nikdo nebude mít zájem. Ale nic nenaděláš, EU schvaluje nařízení, které jim dá monopol (protože filtrování copyrightovaného obsahu nikdo jiný neumí), občasná pokutička vylepší unijní rozpočet, všichni na tom vydělají. Teda pokud zrovna nejsi běžný jarda admin, který by si chtěl hrát na svém písečku a nepracovat pro megakorporát

Quando omni flunkus moritati

21.10.2018 19:25 futurolog
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Dnes uz ludia nedoveruju najblizsim, neviem preco by mali doverovat ISP ci firme dodavajucej prehliadac...

21.10.2018 19:32 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

No a jakmile člověk překročí třicítku, měl by přestat věřit i sobě. :-) (Vida, a já si celou dobu myslel, že to pochází od Lennona.)

21.10.2018 20:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Chtěl jsem napsat, že v Little Brother bylo dokonce 25, ale grepování odhalilo, že to tam důsledně používají s faktoriálem (Don't trust anyone over 25!).

22.10.2018 00:39 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Heh

KERNEL ULTRAS video channel >>>

22.10.2018 18:46 |🇵🇸 | skóre: 94 | blog:
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

tak si myslím, že je čas křičet
nevěřte nikomu, komu je přes deset

Visací Zámek

🇵🇸 ✊ Touch grass ✊ 🇺🇦 ✊ ani boha, ani pána

22.10.2018 19:51 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Tak to je len parafráza na Johna Lennona, ktorý to zas prebral od nejakého fylozofa a ten asi ... tak nejak tu už všetko bolo len v inej farbe

KERNEL ULTRAS video channel >>>

21.10.2018 20:20 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Já v tom vidím jeden bonus, né šifrování dns, na to máme tls, ale kompletní skrytí dns komunikace do http protokolu, aby nebyl tento provoz rozpoznavatelný / blokovatelný.
Zdar Max

Měl jsem sen ... :(

21.10.2018 20:55 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Jjjjjj, takze shodime rovnou tcp 443 a vyreseno, z moderniho Internetu a sluzeb, co by od nej clovek chtel, se najednou nedostane nikam, bo i kdyz treba pouziva email, stejne potrebuje web UI appku... (situace bezneho usera). Fakt nevidim problem v tom, ze mam odchozi traffic na sifrovane DNS, kdyz chodim na web. Asi to potrebuju poresolvovat, ne? ;) K cemu je uzitecna samotna informace, ze pouzivam DNS, kdyz je to vcelku logicke, ze ho potrebuju? Stejne jsou videt cilove IP, kterych se ptam i pri HTTPS... Vyhledove taky konec protunelovani si konektivity DNS dotazama na letistich apod., meh...

--- vpsFree.cz --- Virtuální servery svobodně

21.10.2018 23:20 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Nejen webmail, ale i samotný mail jede přes https, viz třeba ActiveSync, nebo KerioConnect a spousta dalších věcí.
Zdar Max

Měl jsem sen ... :(

22.10.2018 07:57 Radek
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

A nedej bože když přes to jede proxy :D

22.10.2018 09:42 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Cau, vis dobre ze okolo DNS se pohybuju celkem hodne, takze si dovolim taky par pripominek:

1. Jsem soucasti "te hrozne konspirace IETF" ale konference a hotely mi neplati zadnej velkej bratr (jestli na nejakyho mas kontakt prosim rekni mu ze shanim sponzora)

2. Pripominkovaci proces v ramci IETF jde ovlivnit emailem, ale souhlasim s stim ze jeden hlas tam nic moc neznamena, obzvlast kdyz za nim neni v IETF komunite dostatecne zname jmeno. V ramci IETF se standardizace provadi metodou "obece shody", tedy navrh je prijat pokud proti nemu dost nahlas nekrici opravdu hodne lidi - a to jak na meetingu tak na mailinglistech. Pokud se do toho chces zapojit je lepsi zacit napriklad prez nekterou z pracovnich skupin v ramci RIPE. V tomto pripade https://www.ripe.net/participate/ripe/wg/dns

3. Jak pises o kus dal - RFC8484 a RFC7858 (+RFC8310), idkyz to tak vypada nejsou duplicitni ale spise se doplnuji. RFC7858 resi obecne zabezpeceni prenosove cesty DNS, protoze DNS samo i pri pouzivani HTTPs odkryva cast informaci ktere je dobre nechat utajeny. Takze normalni DNS resolvery v ramci koncovych stanic by mely/mohly do budoucna prejit na DNS over TLS (napriklad se jiz pracuje na DHCP signalizaci ze dany rekurzivni server podporuje TLS). DNS over HTTPS je jen berlicka pro rekneme urcita zvlastni prostredi, coz vychazi z toho jak vypada paket podle RFC8484 a RFC7858 - v ramci DNS over HTTPS je z toho prece na prvni pohled videt ze to je mnohem mene efektivni ale na druhou stranu to resi nekolik jinych problemu, napriklad cely protokol je zvolen tak aby byl vyuzitelnu jednodiuse primo aplikacemi a to vcetne webovych aplikaci uvnitr prohlizece, schovani DNS provozu pred pripadnou lokalni chytristikou (urcite jsi uz zacil napriklad hotely s prilis aktivnim administratorem ktery zaviral na firewallu uplne vse a vynucujici napriklad jejich vlastni DNS rekurzory - tady ti DNS over HTTPS pomuze)

4. Ja napriklad ted pracuju na moznosti signalizace podpory TLS i pro autoritativni servery formou rozsireni predani NS zaznamu tak ze nadrazeny autoritativni server kdyz odkazuje na dalsi NS tak krome jeho nazvu preda i otisk jeho klice, takze DNS over TLS (resp. v tomto pripade spise DTLS) bude pouzitelne v ramci celeho DNS stromu...

5. Ke zpravicce, melo tam byt "V Breznu bylo vydani RFC 8484...." (zpravicka ma pul roku zpozdeni) :D

6. A jeste jak pises dal ze si ty rfc nejak konkurujou, tak citace z RFC 8484:

Acknowledgments

Thanks to the authors of both [RFC8094] and [RFC7858] for laying the groundwork for this document and for reviewing the contents. The authors would also like to thank John Dickinson, Shumon Huque, Melinda Shore, Gowri Visweswaran, Ray Bellis, Stephane Bortzmeyer, Jinmei Tatuya, Paul Hoffman, Christian Huitema, and John Levine for review and discussion of the ideas presented here.

No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org

22.10.2018 11:54 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Ad bod jedna, ja jsem nerekl, ze je to konspirace IETF, to je spis o tech clenech a o jejich rozpoctech, ze. A potom o sekundarni slozitosti s komunitnim rozpoctem z Cech tyhle jejich seance nasledovat, je temer nemozny. Ty to mas vyreseny, kdyz hostujes miliony a miliony domen komercne, ze jo ;-) Nerikam, ze ty lokace vybira vedeni IETF, jestli vubec nejaky je - cekal bych, ze je to co nejtensi layer lidi, vsak fakt netvrdim, ze je tam konspirace - jenom tvrdim, ze to korporatni prachy "unesly" dal od vsech ostatnich, min privilegovanych - tj. i globalni akademie. Jak se treba profesori z UK/CVUT muzou do takovy veci zapojit? Kdo jim zaplati cestovny a hotely?

Ad bod tri, berlica pro ktera zvlastni prostredi? Browser nebezi v prostredi, kde bezi i standardni, rozvijejici se podporovany prostredi, ktery standardne podporuje resolvovani? Jakoze, proc to browsery musi resit jinak a vsechny ostatni aplikace na Internetu maji dal pouzivat normalni DNS standardy, ne nejaky sprsknutiny kone s veverkou?

Ad bod ctyri, myslis, ze by to slo bez toho, aby ses s tema lidma znal osobne uz?

Dik za obsahlou odpoved, i kdyz to trochu posvitilo na temny zakouti, furt v nich neni dost svetla, abych tam ten poklad, proc se tohle cely dela, nasel...

--- vpsFree.cz --- Virtuální servery svobodně

22.10.2018 13:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Jak se treba profesori z UK/CVUT muzou do takovy veci zapojit? Kdo jim zaplati cestovny a hotely?

Teď zrovna bude v březnu meeting IETF v Praze. :-)

22.10.2018 13:11 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Tak to muzeme jeste zjednodusit - pristi rok koncem brezna je IETF meeting tady v Praze (tradicne v Hiltnu v Praze - Karline). Myslim ze ti muzu zaridit sponzora co ti zaridi vstup, aby jsi nemusel platit konferencni poplatek a prohlednout si to primo "u zdroje"...

No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org

22.10.2018 14:31 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

No vidis. Hilton, ted zrovna naaahodou Praha, takze se nemusi resit ubytovani apod. Tuhle stredu odlitame se Sorkim na NixCon do Londyna, cela ta sranda vysla uz ted na raketu a to jsme jeste nikam nejeli (ubytko+letenky, pricem ty letenky jsou mnohem min kriticka cast) a to nepocitam, kolik propalime za takovou banalitu, jako nechcipnout tam hlady. Samotni organizatori jsou z toho smutni, ze je to ciste komunitni vec a vysla nakonec tak draho, ze nemuzou ani lidem slibit snidani, kterou puvodne meli v planu. Takze vlastne moje hlavni agenda, s cim tam pojedu, je pristi rok natahnout NixCon nekam k nam, idealne do Brna a spojit to s pristim Altem, napriklad... No a to je Londyn, to jsme jeste stale v Evrope. Jako fakt si budem hrat na to, ze se tady z tech sitaru a puvodne nerdsky komunity nestala rozmazlena smetanka preplacena zlatem? Vzdyt to je videt i u nas. Peering days jsou jaka naskrobena vec, pomalu s dress-code? :D Nevim no. To, ze zrovna ted nahodou nasinci nikam nemusi, neberu moc jako argument vuci globalnimu trendu (a ne trendu, ale uz v podstate danym stavu, kterej se nikomu nechce menit, viz tahle racionalizace - "vsak to bude v Praze, ted" - hm...)

--- vpsFree.cz --- Virtuální servery svobodně

22.10.2018 15:42 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

V momente, kdy nechces konferenci poradat o vikendu a potrebujes 100+ lidi, tak to bohuzel skoncis nejspis vzdy v nejakem "luxusnim" resortu.

Please rise for the Futurama theme song.

22.10.2018 16:04 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Zrovna IETF byva v Praze pravidelne. A cestuje po velkych mestech po svete - a vzdycky to ma nekdo bliz a nekdo dal. Kdyz mame to tema DNS, tak dalsi konference ktera se toho tyka je ICANN meeting (ted byla Barcelona, coz je kousek a je levna). A taky putuji po velkych mestech po svete: https://meetings.icann.org/en/ (tam byl zrovna ted kolega). Akorat RIPE meeting uz v Praze nebude (byl pred par lety, ale RIPE ma takovy pravidlo ze nikde zatim nebyl velkej meeting dvakrat - s vyjimkou Amstru kde maj sidlo). A co se tyka navstevniku - tak na tehle akcich si ja jako predstavitel komercniho subjektu pripadam skoro utlacovanej mezi tou haldou akademiku...

Tak jak bude napriklad dalsi RIPE v Amstru tak pojed se mnou - nasledujici je Rejkiavik, to uznavam ze bude drahy (nicmene ten Amstr - cesta autem vyjde na par tisic, to je sranda... bydlet v konferencnim hotelu bejva drahy, ale ja vetsinou bydlim nekde kousek vedle vyrazne levnejc - napriklad v Amstru byva RIPE v hotelu Okura, ale 300 metru vedle v EasyHotelu uz bydlim za nejakejch 80 euro na noc...)

V kazdym pripade tyhle konference nejsou nijak nedostupny nebo extra drahy - clovek si pocka na levnejsi/blizsi misto kde se bude konat. No a kdyz uz se tam jednou s tema lidma seznamis, parkrat se opijete, tak uz se i v tech mailinglistech da debatovat ohledne standardizaci a rfc daleko lepe, kdyz ty lidi naproti sobe uz znas...

No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org

22.10.2018 17:01 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Beru na vedomi, zaridim se. Cenny zkusenosti, dik, ze se podelis.

--- vpsFree.cz --- Virtuální servery svobodně

21.10.2018 21:38 Superklokan
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Odpovědět | Sbalit | Link | Blokovat | Admin

Cely ten humbuk okolo sifrovania je uplne smiesny. Na trhu su cenovo dostupne zariadenia a riesenia, pre ktore SSL trafika nerobi ziadny problem

https://www.a10networks.com/products/ssl-inspection

21.10.2018 22:41 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

No pokud sis to dobře přečetl, tak to na co odkazuješ je proxy. Takže ano, pokud budeš mít organizaci, která zakáže přímý provoz do internetu a všechny konekce musí jít přes proxy, tak máš pravdu. Na proxy bude vše vidět. Ale to není obecný případ.

22.10.2018 00:28 MadCatX | skóre: 28 | blog: dev_urandom
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

A i přes takovouhle proxy lze protlačit šifrovaná data přes corkscrew. Stačí mít někde venku VPSku s běžícím SSHčkem.

22.10.2018 00:37 MadCatX | skóre: 28 | blog: dev_urandom
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

(* Takto jednoduše by to šlo u HTTP proxy, u SOCKS proxy by to bylo složitější ale taky proveditelné.)

22.10.2018 08:15 Superklokan
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Neviem ako funguju ISP a domaci uzivatelia, ked ISP maju povinnost logovat trafiku a napr. blokovat pristup k domenam s hazardom. Nie je najjednoduhsie nasadit transparentnu proxy?

V pripade firiem a firemnych uzivatelov admini nasadzuju tiez proxyny na lepsiu kontrolu toku dat z/do internetu.

Kazdopadne nik sa nebude chvalit ze ma nasedenu technologiu na spehovanie svojich zakaznikov ci klientov, hoci ti ziju vo falosonm pocite bezpecia SSL.

Moc som tu technologiu od A10 nestudoval to bolo na ilustraciu a ze taka technologia je dostupna.

22.10.2018 10:28 MadCatX
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

TLS se ve firmách apod. obchází tak, že na uživatelských strojích je nainstalován důvěryhodný certifikát vystavený tou firmou. HTTPS pak mezi uživatelem a firemní proxy běží šifrované tímto certifikátem, takže prohlížeč nic nehlásí a uživatel nic nepozná. Na proxy se to rozšifruje, vyfiltruje a cestou ven zašifruje znovu, tentokrát správným klíčem z certifikátu od serveru, se kterým komunikujeme. Tohle není nic nového a ta proxy od A10 pravděpodobně nic jiného nedělá.

Pokud si protistrany vymění klíče předem, jak je běžné třeba u SSH a šifrovaná data si předávají jako obsah skrz jinak nezabezpečený kanál - třeba HTTP - žádná proxy tomu nezabrání.

22.10.2018 13:50 Superklokan
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Dakujem za vysvetlenie. SSL nie je riesenie na utajenie komunikacie.

22.10.2018 14:44 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

SSL je v pohodě, jen potřebuješ vědět, kdo je na druhé straně.

Hello world ! Segmentation fault (core dumped)

22.10.2018 15:24 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Coz se soucasnym systemem duveryhodnych CA moc nejde a pokud chces pouzit self-signed cert tak to prohlizec povazuje za nejvetsi hrich.

22.10.2018 19:07 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Opět to co již bylo řečeno. Musíš vědět, kdo je na druhé straně. znám paranoidní jedince, kteří z prohlížeče smazali celý systém kořenových autorit a z některých zařízení komunikují jen se selfsigned certificate systémy, jejichž certifikáty si sami nainstalovali do prohlížeče. A získali je nejdříve jiným komunikačním kanálem než přímým přihlášením k serveru.

22.10.2018 21:37 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Stejne bezpecne by to mohlo fungovat pro vsechny a ne pouze pro paranoidni, kdyby byl zajem. Zajem je ale naopak aby to moc nefungovalo, pochopitelne.

22.10.2018 19:18 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

SSL (nebo spíše TLS od verze 1.2 výš) je řešení na utajení komunikace. Pořád se můžeš podívat kdo vydal ten certifikát a pro koho je vydaný. Ten certifikát vydaný firmou pro proxy musí být vydaný pro "*" jinak by to prohlížeč hlásil. A to samozřejmě poznáš. stačí si kliknout na certifikát a vidíš pro koho je vydaný. (A musím se ještě kouknout jak to certifikát akceptuje, protože nedávno jsme museli si nechat vydat LetEncrypt certifikát pro server.subdomena.firma.cz protože správně vydaný certifikát pro *.firma.cz sice funguje na všechny servery na 3 urovni ale ne na 4 úrovni. Takže obecný certifikát firmy, který bude fungovat na cokoliv mi úplně jasny není.) Takže ještě jednou TLS 1.2 a nové 1.3 je spolehlivé a bezpečné a v současnosti se neví žádná technika, jak je prolomit.

22.10.2018 20:29 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Ty MitM proxy nemají jeden univerzální certifikát na všechno (on by takový certifikát vydaný na „*“ ani nefungoval), ale generují certifikáty vždy pro požadovanou adresu. Takže když půjdete na https://www.abclinuxu.cz, vygeneruje si ta proxy certifikát pro www.abclinuxu.cz, podepíše ho svou vlastní autoritou a ten certifikát pošle prohlížeči. Prohlížeč má mezi důvěryhodnými autoritami tu autoritu, kterou používá ten MitM proxy server, takže tomu certifikátu bude důvěřovat.

22.10.2018 22:49 MadCatX | skóre: 28 | blog: dev_urandom
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Na to jsi přišel jak? Ani ta MITM proxy TLS nelouskne, pokud na svém zařízení výslovně nepovolíš, že certifikáty vystavené tou proxy považuješ za důvěryhodné.

23.10.2018 12:44 Petr
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Není nutné aby to fungovalo jako proxy, může to být vůči provozu transparentní viz https://www.symantec.com/products/ssl-visibility-appliance Nic to nemění na tom, že koncové zařízení musí důvěřovat použité CA, která uvnitř vystavuje zástupné certifikáty.

23.10.2018 12:42 Petr
Rozbalit Rozbalit vše Re: RFC 8484 (DNS přes HTTPS)

Trochu tady mícháte jablka s hruškami. SSL intercepce bude fungovat jen pro prohlížeče/systémy pod kontrolou daného administrátora (společnosti), jelikož musí použitou CA dostat do důvěryhodných autorit daného systému/prohlížeče. Všem ostatním budou na všech webech vyskakovat varování před nedůvěryhodným certifikátem. Použití pro ISP nebo někoho pro odposlouchávání provozu je bez ovládnutí zdrojového počítače nemožné

Založit nové vlákno • Nahoru

Tiskni Sdílej: