Hai bisogno di DNSSEC se usi HSTS? [duplicare]

4

Sto cercando di capire i vantaggi di DNSSEC.

Se un utente visita il mio sito example.com e la cache DNS è stata avvelenata reindirizzando l'utente all'IP del malintenzionato, cosa accadrebbe?

Ho abilitato HSTS.

La mia comprensione è che l'utente vedrebbe la "La tua connessione non è una schermata privata" e non sarebbe in grado di continuare (a meno che non stia utilizzando un browser più vecchio come IE 10 che non supporta HSTS).

Il cattivo potrebbe reindirizzare il mio sito a un altro dominio ignorando la protezione HSTS o HSTS interrompe il reindirizzamento perché non riesce a trovare un certificato valido?

Con DNSSEC abilitato questo fermerebbe il cattivo che avvelena la cache e l'utente non ne saprebbe nulla o vedrebbe una pagina di errore diversa?

So che DNSSEC non protegge l'ultimo salto.

    
posta Peter Brumby 12.05.2018 - 23:07
fonte

2 risposte

4

Sono tecnologie molto diverse e non si fidano l'una dell'altra. In effetti, alcuni argomenti trovano DNSSEC non necessario in generale. Direi di no, DNSSEC non è necessario se HSTS è usato correttamente (lunga durata, precaricato). La maggior parte dei client non usa nemmeno DNSSEC, quindi gli effetti di averlo potrebbero essere minimi.

Penso che tu abbia ragione nell'osservare che gli effetti di DNSSEC su un sito web servito su HTTPS con HSTS configurato sono minimi. In questo caso, indipendentemente dal fatto che la risposta DNS sia corretta, il browser rifiuterà di caricare il sito Web a meno che non fornisca un certificato valido (supponendo che il sito Web sia presente nell'elenco precarico HSTS o che il browser lo abbia già visto).

Si noti inoltre che queste tecnologie funzionano su diversi livelli sul client. Sebbene il browser sia a conoscenza della situazione HTTPS / HSTS, non conosce o non si preoccupa dello stato di DNS / DNSSEC, in quanto generalmente viene gestito dal resolver del sistema operativo o da un server upstream. Senza utilizzare un'estensione del browser per DNSSEC, è possibile comunicare solo se è stata ricevuta o meno una risposta.

DNSSEC brilla in altri scenari non Web. Un esempio, nel regno della posta, è DANE (autenticazione basata su DNS di entità nominate). Usa il DNS per recuperare le informazioni del certificato per vari server. DNSSEC è fondamentale qui per proteggere il traffico DNS da manomissioni, poiché tale manomissione consentirebbe ad un avversario di sostituire l'impronta digitale del certificato. Altre applicazioni non web potrebbero avere requisiti simili per l'integrità del DNS.

    
risposta data 13.05.2018 - 00:52
fonte
0

Diciamo che stai visitando www.mybank.com

DNSSEC garantisce che l'indirizzo IP che si sta per, per www.mybank.com, appartenga effettivamente a MyBank. Questo accade crittograficamente, naturalmente.

Una volta ottenuto l'indirizzo IP corretto, ora il browser invia una richiesta HTTP all'IP (attendibile). HSTS ora garantisce che quando viene effettuata la query HTTP, viene impedita la comunicazione non basata su SSL. Questo viene fatto attraverso il flag HSTS. Pertanto, se un attore canaglia è Man-In-The-Middling del tuo traffico, non può forzare la comunicazione su HTTP non SSL.

    
risposta data 13.05.2018 - 02:15
fonte

Leggi altre domande sui tag