Alla luce dei recenti attacchi alla comunicazione SSL / TLS, le persone hanno chiesto modi per migliorare la sicurezza della comunicazione del server Web SSL. Diverse grandi soluzioni sono state menzionate nei seguenti link (esempio 1 , 2 , 3 e post del blog ).
There is a general agreement that if a network administrator uploads the website's SSL public key (or its hash) into DNS, security could be improved
Gli svantaggi della soluzione proposta sono:
-
Tutti i consigli per questa particolare soluzione richiedono DNSSec, che aggiunge complessità e ha un costo associato.
-
Il software client (browser, sistemi operativi) richiederà un aggiornamento per verificare effettivamente il DNS per le informazioni sul certificato
Nello spirito di fornire un sollievo immediato all'ampio problema di sicurezza a portata di mano, sono interrogando il requisito assunto di DNSSec . Rimuovendo questo requisito e semplicemente consentendo al proprietario del sito web di dettare gli intermediari SSL (o chiavi pubbliche specifiche) che desiderano utilizzare tramite DNS, consentiamo all'editore di contenuti (o al sito di e-commerce) di dichiarare ciò che è attendibile e, quindi, rendere alcuni vettori di attacco molto (molto) più difficili da superare.
Domande
-
DNSSec richiesto per la distribuzione di chiavi / hash pubblici?
- Secondo questo link, l'hacking DNS non è una preoccupazione per la maggioranza degli utenti su Internet. Notevoli eccezioni includono gli utenti WiFi e alcuni router SoHo che destano preoccupazione. Se DNSSec è necessario solo per questi casi limite, perché ritardare l'implementazione di una tecnologia borderline?
-
Esistono modelli di minacce che confrontano l'utilizzo del DNS normale come repository rispetto a DNSSec?
- La premessa di questa domanda presuppone che sebbene l'uso regolare del DNS sia imperfetto, fa grandi passi avanti nel proteggere gli utenti da una vulnerabilità generale a livello di sistema.
-
Cosa deve essere memorizzato, l'hash o la chiave pubblica completa?
-
Quanto sarebbe difficile per i fornitori supportare questa ulteriore convalida di un certificato SSL / TLS?