Podle mne je nepřirozený ten stav, kdy se předpokládá, že na globální síti jsou jen samí hodní hoši. Takže postupně bude vše směřovat k bezpečné komunikaci – HTTPS, SSH, cokoli-over-TLS. A k tomu patří i DNSSEC. Já neřeším, před jakým konkrétním útokem by mne mělo DNSSEC chránit. Já prostě jen nevidím jediný důvod, proč by měl mít někdo možnost podvrhnout mi A/AAAA záznam. Je to stejné, jako u HTTPS – někdo argumentuje, že to někde není potřeba. Každopádně to ale ničemu nevadí, a přemýšlet, kde HTTPS nebo DNSSEC má být a kde ne je zbytečné, když to klidně můžu mít všude.

Že to rozbíjí captive portály je jedině dobře. Captive portál není nic jiného, než MitM, a mně se nechce rozlišovat MitM na hodné a zlé. Captive portály jsou hacky na obou stranách, čím častěji to bude rozbité, tím lépe, protože to alespoň povede k nalezení nějakého rozumnějšího řešení – např. že se bude adresa captive portálu posílat v rámci DHCP, nebo ještě lépe se odvodí z nějakého všeobecně známého prefixu a přiděleného doménového jména (takže např. když by DHCP sdělí, že jsem v doméně example.com, budu vědět, že se mám dotázat na PTR záznam _captive-portal.example.com, kde najdu odkaz na captive portál).

DNSSEC by mohl hodně pomoct i proti zvůli ISP.

Já to beru tak, že je to lepší než nic. A je to v souladu s obecným zvyšováním zabezpečení – kdysi se používal POP3, IMAP4, telnet, VNC, HTTP, FTP, SMTP… všechno bez šifrování, ani hesla se nehashovala. Postupně se to zlepšuje a mění – a do toho mi zapadá i taková „vymoženost“ že cestou nikdo nemůže změnit odpověď z DNS serveru, která ke mně putuje.

Ale stále je to polovičaté řešení – dost mi vadí, že kdokoli cestou se může podívat, jaké domény si nechávám přeložit… lepší by bylo tedy řešit nejen integritu, ale i důvěrnost, když už.