Archiviazione di certificati SSL nei record DNS

10

Perché non sbarazzarsi di tutte le autorità di certificazione e di tutti i tipi speciali di certificati SSL (convalida estesa ecc. ecc.) e invece basta richiedere a chiunque desideri che SSL scriva il proprio certificato SSL autofirmato e poi li abbia memorizzati nei record DNS.

Non sarebbe più facile affidarsi a entrambe le autorità di certificazione di terze parti e in DNSSEC? Inoltre, è possibile rimuovere gli avvisi di sicurezza forniti dai browser quando si utilizzano certificati autofirmati, intendo finché il DNS non è stato avvelenato, quindi non ci sarebbe stato un problema, inoltre si ha un enorme numero di scelte quando si tratta di DNS fornitori che non si hanno quando si tratta di autorità di certificazione affidabili dai browser comuni.

    
posta jake192 28.09.2014 - 19:30
fonte

2 risposte

15

Why not get rid of all certificate authorities and all the special kind of SSL certificates there are (extended validation etc. etc.) and instead just require anyone who wanted SSL to write their own self signed SSL certificate and then have them stored in DNS records.

C'è persino uno standard per questo: DANE . Ed è già in uso con alcuni siti, ma attualmente principalmente per SMTPS e non HTTPS.

Tuttavia, ha bisogno di DNSSec per assicurarsi che le ricerche DNS non siano falsificate. Perché altrimenti un aggressore man-in-the-middle potrebbe semplicemente inviare il proprio certificato all'interno della ricerca DNS. Sfortunatamente DNSSec non è molto utilizzato al momento, quindi per ora dobbiamo convivere con la struttura PKI stabilita.

Ma una volta che DNSSec è stato implementato in modo sufficientemente approfondito, DANE è una tecnologia promettente e puoi usarlo per usare i tuoi certificati autofirmati o per avere un percorso di fiducia aggiuntivo con i tradizionali certificati basati su CA.

    
risposta data 28.09.2014 - 20:43
fonte
4

Per quanti problemi hanno le CA, il DNS è significativamente meno affidabile delle CA SSL. SSL è uno degli strumenti che possono proteggerti quando il tuo DNS viene manomesso verificando l'identità del server remoto. Se sposti i certificati su DNS (senza DNSSEC per verificare l'attendibilità della risposta DNS) hai appena dato a qualcuno che possiede il tuo DNS la possibilità di possedere l'intera connessione senza alcun modo per poterlo rilevare. Hai citato DNSSEC, ma sembra che tu voglia fare i certificati senza di esso, e questo è un approccio destinato all'insuccesso.

La manomissione DNS è banale:

Alla fine della giornata, se sei nella mia rete e riesci a vedere passivamente il tuo traffico, posso manomettere le tue risposte DNS, anche senza eseguire un MITM. Il DNS normalmente usa UDP, quindi quando vedo la tua richiesta, posso "gareggiare" sul server legittimo per restituire una risposta. Se ha bisogno di fare una ricerca ricorsiva, o se stai andando su Internet per OpenDNS o Google Public DNS, sto quasi certamente andando a vincere la gara e iniettare la mia risposta falsa.

    
risposta data 28.09.2014 - 20:37
fonte

Leggi altre domande sui tag