[grnog] The new DNS (DoT/DoH)

[Aris Lambrianidis]

ebal at fsfe.org wrote on 18/09/2019 18:20:
> είναι σαν να λέμε ότι επειδή είναι https δεν μπορούμε να κάνουμε 
> troubleshooting. 
Πιο σωστά: Είναι πιο δύσκολο (όχι αδύνατο) να γίνει γρήγορα και at 
scale, και είναι πιο δύσκολο
να καταλάβει ένας administrator από intermediate ή out of band vantage 
point (firewalls, routers,
passive DNS etc.) αν η κίνηση είναι malicious ή legitimate.

Μπορούμε φυσικά να κάνουμε deploy όσο intelligence θέλουμε στα end 
points για να αναπληρώσουμε
το κενό, αλλά αυτό συνήθως δεν αρέσει στους χρήστες, και σίγουρα δεν 
αρέσει σε
security analysts ή network engineers που τώρα θα πρέπει να εξαρτώνται 
από άλλο τμήμα για να
καταλάβουν τι συμβαίνει στο δίκτυό τους.

Εναλλακτικά, κάνουμε SSL/TLS decryption και μοιραζόμαστε war stories για 
το πόσες φορές
δημιούργησε πρόβλημα το MitM στον τελικό χρήστη και πόσο εύκολο είναι να 
διαχειριζόμαστε υποδομή
PKI.

Εάν υπάρχουν τεχνικές που να λύνουν αυτά τα προβλήματα (πέραν από 
εμπορικές λύσεις και πέραν του "φόρτωσε
το server certificate και key στο Wireshark), θα με ενδιέφερε να ακούσω 
για αυτές.

Φιλικά,
Άρης