Digest di UKNOF12

[Marco d'Itri]

On Mar 10, Arrigo Triulzi <arrigo@alchemistowl.org> wrote:

> Comunque quello che servirebbe a me è una presentazione da far vedere a non tecnici sul perchè e su come non sarà un disastro tipo SSL dove un certificato vale come una carta d'identità stampata a casa.

Capiamoci: a cosa vuoi che serva DNSSEC? Vedo due possibili risposte:
- garantire che poste-italiane.info è controllato proprio dalla società
  Poste Italiane S.p.A che sappiamo gestisce gli uffici postali in Italia
- garantire che poste-italiane.info è controllato proprio dalla società
  che sappiamo ha registrato questo particolare nome, qualsiasi essa sia

DNSSEC non ha mai cercato di risolvere il primo problema, la PKI
vorrebbe farlo ma per ora ha fallito miseramente al prezzo di avere
creato un cartello con la licenza di stampare denaro^Wcertificati.
DNSSEC risolve il secondo problema, la PKI forse lo fa ma con i problemi
di cui sopra.

Non è un problema se "firmano qualsiasi zona", l'importante è che il
registrar sappia riconoscere il proprio cliente: se fallisce in questo
allora un cattivo può semplicemente cambiare la delega al dominio.
Poi ciascuno valuterà quanta affidabilità deve garantire il proprio
registar: è probabile che chi registra un dominio con xinnet sia meno
"sicuro" da questo punto di vista di chi lo registra con MarkMonitor...

-- 
ciao,
Marco