Jammer dat je zoveel onwaarheden verkondigd.
KPN en Ziggo doen GEEN DNSSEC. Daarmee het merendeel van de Nederlandse internetters niet.
Want die gebruiken gewoon de DNS servers van KPN/Ziggo en doen zelf geen validatie.
Volgens mij hebben we een misverstand want dat is precies wat ik zeg.
Ik ken geen DNS resolver library die zelf validatie doet.
getdns en libunbound kunnen het, zie bv:
https://getdnsapi.net/dox...00791234d2c9d6dc5202d1b18Dat XS4ALL en Google het wel doen doet er niets aan af dat de 2 grootste ISPs in ons land geen validatie doet.
We hadden over de vraag of het kan, niet of ze het doen.
Een client *kan* het misschien doen, maar geen enkele client doet het ook daadwerkelijk
Misschien dat ik hier wat onduidelijk ben geweest, maar veel moderne systemen draaien lokaal een resolver en daar kun je dus eenvoudig DNSSEC doen voor je hele systeem. Er is dan geen onbeveiligd pad tussen resolver en applicatie. Het is nog mooier als applicaties het direct doen, maar dat is inderdaad extreem zeldzaam.
Bovendien, als een DNS client library wel DNSSEC validatie doet maar de resolver waar hij gebruik van maakt niet en het ook niet doorgeeft dan kom je alsnog niet verder.
Tja, als je de kabel doorknipt kom je ook niet verder. DNSSEC kan niet op magische wijze voorbij firewalls of andere systemen die informatie tegen houden. Geen enkel beveiligingssysteem kan informatie door een blokkade heen toveren, dat is niet het doel.
Maar met DNSSEC weet je in ieder geval dat er informatie wordt tegengehouden en dat je de informatie die je wel krijgt dus niet mag vertrouwen en alle implementaties die ik ken blokkeren de verbinding dan.
De praktijk is heel simpel: De 2 grootste ISPs van het land doen geen DNSSEC. Standaard clients (Windows/Linux/Mac) doen geen DNSSEC validatie op eigen houtje. Doet de resolver (die de client krijgt vanuit DHCP) geen DNSSEC, dan doet de client geen DNSSEC. Zo simpel is het. Niet meer en niet minder.
Dat het allemaal anders kan voor iemand die uberhaupt weet wat DNSSEC is.. Dat is prachtig, maar je moet uit gaan van de gemiddelde situatie. En in de gemiddelde situatie wordt er nu gewoon voor >90% van het Nederlandse volk geen DNSSEC gedaan.
Ik weet niet wat je probeert te zeggen. Wil je het hebben over de theoretische werking van het systeem of over wat de gemiddelde consument in praktijk doet?
Dat de twee grootste ISPs geen DNSSEC doen is duidelijk. Jij beweerde dat het zo is omdat het te veel gedoe zou opleveren voor de helpdesk. Ik laat zien dat die angst onterecht is omdat andere grote DNS-aanbieders het wel doen en de belasting voor hun helpdesk dus blijkbaar acceptabel is.