Ho appena installato DNSSec. C'è qualche vantaggio in DANE per un certificato Cert?

4

Ho appena implementato DNSSec al link link e link

Poiché DNSSec è un requisito di DANE, e ho un certificato basato su CA, posso mostrare il mio supporto per le distribuzioni basate su DANE pubblicando il mio certificato basato su CA in DNS?

La mia preoccupazione è la coerenza nel cliente. Se c'è un attacco su DNS e una root compromessa, come risponderà ogni cliente?

    
posta random65537 27.03.2015 - 19:04
fonte

2 risposte

2

Bene, DANE può, insieme a Public Key Pinning (HPK) , proteggere gli utenti attuali da usi malevoli (anche se il record DANE è cambiato, i browser ricorderanno ancora le intestazioni HPKP e non riescono a connettersi). Questo non protegge le nuove connessioni. Ma dal momento che HPKP ha una durata di almeno 1 mese, aggiunge una ragionevole sicurezza al tuo "stack".

    
risposta data 08.04.2015 - 02:38
fonte
1

Since DNSSec is a requirement of DANE, and I have a CA-based certificate, can I show my support for DANE-based deployments by publishing my CA-based cert into DNS?

Certo! È possibile utilizzare un record DANE per il certificato per indicare il certificato corretto, per impedire il successo di un attacco MiTM.

If there is an attack on DNS vs a compromised root, how will each client respond?

Suppongo che per root compromessa si intenda compromettere il server e il certificato per il server DNS root. Sfortunatamente, in questo caso, non c'è soluzione. DNSSEC non aiuterà, ma non ostacolerà il tuo sito. Fortunatamente, questo scenario è estremamente improbabile.

    
risposta data 12.08.2016 - 04:57
fonte

Leggi altre domande sui tag