Molti risolutori (compresi TLD e TLD root) supportano DNSSEC, anche i server OpenDNS di Google lo supportano.
Tuttavia, non viene controllato sul lato client per impostazione predefinita. Perchè è questo?
Molti risolutori (compresi TLD e TLD root) supportano DNSSEC, anche i server OpenDNS di Google lo supportano.
Tuttavia, non viene controllato sul lato client per impostazione predefinita. Perchè è questo?
Il team di sicurezza di Chromium dice:
DNSSEC and DANE (types 2/3) do not measurably raise the bar for security compared to alternatives, and can be negative for security. DNSSEC+DANE (types 0/1) can be accomplished via HTTP Public Key Pinning to the same effect, and with a much more reliable and consistent delivery mechanism.
(vedi link )
Hanno speso molto tempo e sforzi a lavorare sul supporto HPKP e Firefox ha utilizzato molti degli strumenti che ha prodotto (ad esempio gli elenchi di pinning incorporati). Pertanto, probabilmente non vedono molto a sostegno di un metodo diverso, quando ne hanno uno che considerano migliore. Anche Microsoft sta indagando su questo, ma non ha preso alcuna posizione particolare (anche se non sembrano aver indagato su DNSSEC). Ecco i principali attori nell'attuale mercato dei browser che si stanno orientando verso un'alternativa.
Tuttavia, HPKP è costruito su HTTP - è progettato esclusivamente per il web. DNSSEC non ha questa restrizione, quindi può essere utilizzato per altre applicazioni. Può verificare che i record DNS provengano effettivamente dal proprietario del dominio, che può essere utile per i server di posta o per i risolutori DNS su piccola scala, assicurando che un attore malintenzionato in grado di modificare il traffico non possa manomettere i record in modo non rilevabile. Per questo motivo, è ancora considerato importante da implementare - il DNS è usato molto di più che solo le pagine web!
Da qui :
Disadvantages of DNSSEC
- DNSSEC can add significant load to DNS servers – increasing costs and reducing efficiency of current DNS systems. It requires significant investment of resources on the part of TLD registry operators, domain name registrars, ISPs and hosting providers.
- “Bootstrap problem” – a minimum level of deployment is required before ANY users receive a benefit greater than their costs.
- DNSSEC deployment requires software on BOTH the server and client side – how can you get buy-in from end users to use operating systems and browser add-ons that support DNSSEC, especially when the increased complexity of DNSSEC may introduce frequent lookup errors or diminished performance, negatively impacting the overall internet experience for end users?
- DNSSEC is needlessly complicated and a pain for even experienced DNS administrators to implement – DNSSEC adds complexity to a system that is intrinsically simple. There is a potential for lack of backward compatibility with some non-DNSSEC systems, which also creates concern.
- Very few top-level domains support DNSSEC and some governments may even try to ban DNSSEC-backed encryption key distribution – countries are concerned about U.S. control of the internet, and may reject any centralized keying. Deploying DNSSEC in the absence of a signed root diminishes protection against DNS cache poisoning and similar attacks.
Pertanto, i browser potrebbero supportare DNSSEC per impostazione predefinita, a scapito delle prestazioni del browser.
Sembra che l'adozione di DNSSEC non ne valga la pena al momento della scrittura. Qualsiasi ricerca DNSSEC che non esiste dovrà tornare al normale DNS, aumentando la latenza.
Anche qui c'è un problema con l'esperienza utente - come fa un browser a comunicare che un dominio è stato rilevato tramite DNSSEC? Molti utenti non capiranno come funziona questo flag extra in combinazione con il lucchetto. Immagino che potrebbe bloccare le risposte DNSSEC che non sono state firmate correttamente e rifiutare di navigare lì, tuttavia il certificato è già stato pensato per verificare che hai raggiunto il server corretto. E con HPKP puoi verificare che non vi sia alcun certificato emesso da alcuna Autorità di certificazione canaglia.