Se DNSSEC è così utile, perché la sua distribuzione non esiste per i domini principali?

24

Ho letto diversi documenti su DNSSEC, e sembra che impedisca molte classi di attacco, e gli unici due aspetti negativi è che la sua implementazione è difficile (DNSSEC è complesso) e che puoi camminare sui record DNSSEC e trovare fuori tutti i record nel tuo dominio. Inoltre, non tutti i TLD supportano DNSSEC.

Ho provato tutti i domini .com nella top sites lista (prime due pagine) di Alexa, e solo paypal.com nella seconda la pagina ha record DNSSEC. Questo è tra più di 30 domini .com migliori ...

Sicuramente siti come Gmail, Ebay, Amazon possono beneficiare di una maggiore sicurezza offerta da DNSSEC. Dal momento che nessuno di loro ha effettivamente implementato DNSSEC, devo concludere che sanno qualcosa di negativo su DNSSEC che sovrappone i benefici che offre. Che cosa potrebbe essere?

    
posta haimg 04.10.2012 - 18:29
fonte

2 risposte

14

In realtà non è chiaro se DNSSEC sia "ciò che vogliamo".

In questo momento, la certificazione del sito Web, vale a dire come un browser Web si assicura che parli al sito giusto (quando si fa HTTPS) è fatto con certificati digitali emessi da circa un centinaio di autorità di certificazione root. Le CA radice sono entità che hanno deciso di entrare nel business dell'emissione di certificati e ciò che rende il centesimo così speciale è che hanno fatto un accordo con Microsoft / Apple / Mozilla / Google in modo da includere la loro chiave pubblica nel "trusted" "archivio di ogni browser (o sistema operativo). L'accordo include molti aggeggi e assicurazioni legali.

Anche se spesso criticato per la sua opacità, costo pubblico dei certificati individuali e alcuni errori ben pubblicizzati (ricerca "Comodo" e "DigiNotar"), il sistema PKI tende a funzionare, in senso economico: i siti commerciali li usano e la CA viene attaccata molto raramente (la maggior parte degli attacchi sta inducendo l'utente credulone a ignorare gli avvertimenti spaventosi che il browser emette quando trova qualcosa di sospetto con i certificati, piuttosto che affrontare il problema di sovvertire una CA esistente). C'è quindi un incentivo relativamente piccolo a cambiare le cose (cioè, ci sono molte persone che preferirebbero un altro sistema per una serie di ragioni, ma, alla fine, queste cose sono decise da coloro che pagano per questo).

DNSSEC riguarda l'eliminazione di questi CA root dal ciclo e conferisce invece il potere di certificazione alle persone che mantengono il DNS (la mappatura dai nomi dei server agli indirizzi IP), in modo tale che le due strutture sarebbero unite insieme: l'ereditarietà del nome di dominio (con la nozione di "sottodominio") sarebbe unita con l'ereditarietà PKI (con la nozione di "CA intermedio").

Non è chiaro se i nuovi inquilini sarebbero più competenti nel business CA rispetto al precedente; come ho già detto, il sistema attuale funziona già abbastanza bene e la certificazione non è la stessa del mapping dei nomi agli indirizzi. Non è nemmeno chiaro se tale concentrazione di poteri sia davvero una buona cosa. Per i grandi giocatori, non cambierebbe nulla: Verisign-the-CA e Verisign-the-registrar sono entrambi Verisign.

Dal punto di vista tecnico, DNSSEC offre una facile distribuzione di certificati (noti anche come "collegamenti firmati di identità alle chiavi pubbliche") attraverso il sistema DNS, ma non è un problema che doveva essere risolto: in questo momento, qualsiasi SSL / Il server TLS invia felicemente la sua catena di certificati come parte dell'handshake iniziale e funziona bene.

Quindi, date le incertezze sulla bontà del DNSSEC e la mancanza di problemi flagranti con l'infrastruttura PKI esistente, non c'è da meravigliarsi se l'implementazione è considerata non urgente dalle grandi aziende. Iniziamo a far funzionare IPv6.

Come indicato dai commenti qui sotto, DNSSEC ha qualche valore come se stesso per l'autenticazione delle informazioni DNS, che blocca l'avvelenamento del DNS. L'avvelenamento DNS è il facile modo di fare un attacco Man-in-the-Middle , ma sarebbe sbagliato credere che questo risolva i problemi MiTM; semplicemente rende le cose un po 'più difficili per l'attaccante (ad esempio l'attaccante deve usare un WiFI-ananas invece di abusare semplicemente un buco in un hotspot WiFi esistente). Ottenere garanzie sulla mappatura di un nome su un dato indirizzo IP non ti porta lontano se non puoi sapere se un dato pacchetto proviene davvero dall'indirizzo IP che è scritto nella sua intestazione.

In ogni caso, non fornisce molto valore aggiunto ai grandi server , e questo è sufficiente per spiegare la loro riluttanza.

(DNSSEC ha un valore militare , però: prevenendo l'avvelenamento del DNS, aiuta a difendersi contro i grandi attacchi denial-of-service che potrebbero far parte di una guerra elettronica globale. supportato dai governi, non dalle grandi compagnie - ma i giorni o ARPANET sono ormai lontani, e oggi Internet è il territorio delle iniziative private.)

    
risposta data 04.10.2012 - 18:53
fonte
6

L'unica cosa sbagliata in DNSSEC è che è nuovo, il DNS è (ovviamente) importante e le persone sono riluttanti a fare confusione con la loro configurazione DNS. Se la tua installazione DNSSEC si guasta, potresti perdere l'intera presenza su Internet.

Per quanto riguarda il motivo per cui desideri autenticare le ricerche DNS, leggi questo articolo su come il grande firewall si diffonde tra gli utenti al di fuori della Cina:

link

Non è solo la Cina a intristire con il DNS, chiunque abbia accesso al traffico tra un client, il risolutore del client o il resolver ei server DNS può anche alterare le risposte.

I certificati per i siti Web sono solo una piccola parte del puzzle qui.

    
risposta data 09.09.2013 - 18:21
fonte

Leggi altre domande sui tag