Fair, want ik bedoelde meer dan alleen anonimiteit, voor zover ik dat drie jaar later nog weet. Het zou zelfs kunnen dat ik het met opzet een beetje in het midden heb gelaten.
Mijn punt ging in ieder geval niet over DNS an sich maar over HTTPS en IP. HTTPS lekt hostnames (via SNI). en IP-adressen zijn vrij makkelijk naar één persoon/aansluiting terug te voeren. Je kan dus niet alleen DNS beveiligen maar moet groter kijken naar al je verkeer.
DNS over TLS heeft de chain of trust van root servers naar (cc)TLD naar domain naar subdomain.
Ik weet niet of ik je goed begrijp. De argumenten die je geeft associeer ik met (tegen) DNSSEC maar dan wel een beetje verouderd. De meeste van je punten heb ik al jaren niet meer gehoord omdat ze in praktijk niet spelen. Misschien begrijp ik je helemaal verkeerd en bedoel je echt DNS-over-TLS. Ik ga even uit van DNSSEC.
Het klopt dat er meer storingen zijn met DNSSEC dan zonder maar dat is inherent aan beveiligen. Iedere beveiliging is een extra kans op problemen. In praktijk is het geen probleem.
Ook zonder DNSSEC vallen dingen uit. DNSSEC maakt het zeker ingewikkelder en fragieler maar in praktijk is het goed te behappen.
Laat ik tussen neus en lippen door nog even vermelden dat DNSSEC niks te maken heeft met anonimiteit of privacy maar alleen gaat over authenticatie van de ontvangen info.
Het zorgt voor veel overhead en single point of failure. Wat je ook terugziet in downtime sinds het uit is gerold (inclusief downtime op volledige (cc)TLD's
)
Maar net zoals ik duidelijk moet zijn over het woord veilig moet jij duidelijk zijn over het woord "veel". Hoeveel downtime en overhead is er en hoeveel is te veel? Dat zeg ik niet om flauw te doen maar omdat ik denk dat impact overschat.
Single-point-of-failures zie ik niet, waar zitten die?
Daarom zou je DNScrypt kunnen gebruiken, die checkt de chain of trust vanaf client naar server, en de MITM zit meestal op de eerste hop. Als in: als je adversary de eigenaar is van het (cc)TLD dan heb je grotere problemen.
Eerlijk gezegd heb ik moeite om de meerwaarde van (het oorpsronkelijke) DNSCrypt nog te zien nu dns-over-tls en dns-over-https genormaliseerd zijn. Dat bestond nog niet doen dnscrypt werd bedacht en kon pas succesvol worden nadat Letsencrypt de hele wereld van gratis ssl-certificaten kon voorzien.
Ik zie wel nog meerwaarde in de geanonimseerde variant van DNSCrypt.
DNScrypt helpt volgens mij niet tegen gerommel op de resolver zelf en beschermt het verkeer vanaf de resolver. Als de beheerder van de resolver kwaad in de zin heeft dan helpt dnscrypt daar volgens mij niet tegen. DNSSEC wel, in die zin dat je in ieder geval weet dát er gerommeld is.
Excuses als je het niet over DNSSEC had maar dan kan ik je niet volgen. Eerlijk gezegd is mijn kennis van dnscrypt wat roestig dus misschien ligt het aan mij.
Wil je resolves doen via Tor, dat zou kunnen, maar dan zou ik wel om de zoveel tijd een nieuwe identity nemen
Voor de zekerheid, ik had het over anonizemed-dnscrypt, niet over TOR, ook al zijn er wat conceptuele overeenkomsten.
[
Voor 9% gewijzigd door
CAPSLOCK2000 op 06-03-2025 13:11
]
This post is warranted for the full amount you paid me for it.
:strip_icc():strip_exif()/u/144633/crop643e593ea432f_cropped.jpg?f=community)
/u/3626/front-kabels.png?f=community)
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
/u/28468/librarian2.png?f=community)
/u/217510/crop660db19c1cf7b_cropped.png?f=community)
:strip_icc():strip_exif()/u/457808/crop5686a95ab9c87_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)