Gänget på Loopia är ena smarta och roliga lirare. Av de jag haft kontakt med inom webbhotellsbranschen finns det inte många som knäcker dem vad det gäller deras tekniska kompetens. Därför vill jag ge dem en liten utmaning.
DNSSEC är en bra grej. Det har Loopia förstått och senaste tiden även marknadsfört rätt så bra. Att de har lagt ut källkoden till deras funktion som kontrollerar om en Internetleverantör har stöd för DNSSEC är bra. Att Markus har knackat ihop en WP-plugg för det är ännu bättre.
Men om det är något som måste ske för att DNSSEC verkligen ska kunna slå igenom, om det är något jag har predikat i flera års tid, så är det en tydlig indikation på att en domän använder DNSSEC. Något i stil med hänglåset som visas när man använder en SSL-säkrad hemsida.
Jag förstår att det kan vara lite svårt, särskilt med tanke på att Loopia själva (deras självutnämnda domänkung till trots) inte använder DNSSEC för loopia.se. Men en utmaning är inget som Loopia någonsin backade för, åtminstone inte under min tid där.
Så, fixar ni det? Eller hinner någon annan före Loopia?
Apropå nya funktioner så är Bineros iPhone-app äntligen upplagd i App Store. Att det tar lång tid att få en iPhone-app godkänd av Apple är ingen underdrift. Att Binero hann före Loopia med detta, med tanke på deras iPhone-evangelist, är däremot förvånansvärt.
Menar du att du verkligen inte har sett:
http://www.dnssec-tools.org/wiki/index.php/Firefox
trodde du bodde ute i skärgården, inte under en sten. 🙂
Kom igen nu Jimmy, klart jag sett den. Men jag har ett öppet sinne och jag vägrar att låta mig bindas till en specifik klient. Vågar ni försöka er på detta, eller får ni inte för mamma Mamut? 😉
Ha ha, tror du Mamut lägger sig i vad jag gör? Jag har knappt pratat med dem sedan de tog över.
Det borde väl du veta hur lätt det är att försöka styra mig? 😉
Jag tolkar det som att ni accepterar min utmaning då. 😉
Tolka det istället som att jag tycker att DNSSEC gott kan få slå igenom innan klienterna validerar själva.
Det finns en tydlig indikation för användaren på denne har råkat ut för cache poisoning mot en DNSSEC-säkrad sida. Indikationen är ”Sidan kan inte visas”.
Jag tycker att du överdriver nackdelarna med DNSSEC.
Jag förstod att du gjorde det när du arbetade på Binero, då fanns det ett tydligt vinstintresse för er i att Loopias ansträngningar trivialiserades, men jag förstår inte att du fortfarande gör det.
Det gynnar inte DNSSEC. Alla bör använda DNSSEC. Sedan kan vi förbättra saker och ting. Men redan innan de förbättringar som du påstär är helt nödvändiga kommer till så finns det tydliga och obestridliga fördelar med att alla börjar använda DNSSEC.
… och vi får väl se vem som har rätt. Jag kan sätta en öl på att mer än 50% av alla namnuppslagningar gjorda av svenskar mot svenska webbplatser kommer vara DNSSEC-säkrade (validerande resolver + signerad zon) innan den första klientapplikationen validerar DNSSEC-data själv i default-installationen. Vågar du sätta emot?
Jimmy, jag håller med om att alla bör använda DNSSEC. Men för att alla ska förstå nyttan med det, så måste valideringen vara ordentligt synlig för användarna (de som surfar till de DNSSEC-signerade domänerna). Det är något som praktiskt taget alla tekniker jag talat med har svårt att förstå, med undantag för paf, så ta inte illa upp.
Jag kan sätta en öl på min utmaning istället. Det är en liten investering för en enorm nytta.
Det är inte slutkunden som borde bestämma om deras domäner ska vara signerade eller inte, utan deras DNS-operatörer. Det är DNS-operatörerna jag försöker övertyga och de borde kunna förstå nyttan utan en ikon.
Jag ska fundera ut en riktigt dyr öl då, eftersom det för mig inte är orimligt att ett par registrars som tillsammans har 50% av alla svenska zoner i sina namnservrar bestämmer sig för att signera alla zoner. Och på resolvermarknaden är det ännu enklare eftersom så få aktörer behövs för att komma nära 100%.
Att det vore bra med ordentligt synlig validering håller jag självklart med om. Det jag inte vill är att personer som många lyssnar på gör offentliga uttalanden som antyder att DNSSEC har problem som måste åtgärdas innan det kan användas.
Så sammanfattningsvis så säger Jimmy:
1. Signera alla zoner och validera i alla resolvrar
2. Validera i mjukvara så att min mormor får en grön ikon i URL-fältet
och Jonathan säger:
1. Validera i mjukvara så att Jimmys mormor får en grön ikon i URL-fältet
2. Signera alla zoner och validera i alla resolvrar
vi håller med alltså med varandra om allting utom den rimliga ordningen.
Nej, jag säger:
1. Validera i mjukvara så att Jimmys mormor får en röd ikon (eller motsvarande) på majoriteten av alla domäner (som inte är signerade).
2. Då kommer Jimmys mormor ryta till (med alla andra mormödrar) och sätta ordentlig fart på alla DNS-operatörer och Internetleverantörer.
Mitt föreslag är desto mer effektivt och kontroversiellt. Den som tar tag i detta ordentligt (läs: Loopia) kommer få en uppskattning och kundbas därefter. Sen skulle det sitta fint med en öl åt mig.
Sorry, läste fel angående ölen – du vågade väl inte ta mitt val eftersom du också inser att DNSSEC kommer slå igenom redan innan klienterna får den validering du skriver om? Moahaha.
Att få folk i allmänhet att förstå nyttan med DNSSEC är ungefär som att få dem att förstå nyttan med DNS. Det går inte. DNSSEC bör inte vara en marknadsdriven aktivitet, utan ett naturligt sätt att köra DNS. Det är därför .SE jobbar med verktyg för att få alla namnserveroperatörer att kunna köra DNSSEC utan att behöva lägga ner ett uns energi på att behöva förstå koncepten.
Det ska inte vara svårare att köra DNSSEC än att ”trycka på knappen”. Om ens det. Det är jag övertygad om att det är den enda långsiktiga plan som fungerar. Och att signera root, och förstås samtliga TLD:er.
Allt går, bara man gör det rätt. .SE har en teknisk/akademisk grund som motiverar deras inställning, men det är knappast något som kommer gynna DNSSEC:s tillväxt. Det är bara att kolla på .se domänerna, det var inte förrän vi började marknadsföra dessa på ett smart sätt på Loopia som tillväxten exploderade.
Sen behöver det ena givetvis inte utesluta det andra. Men att bara fokusera på tekniken, som .SE och DNSSEC-operatörerna gör idag, är helt fel.