Ho appena implementato DNSSec al link link e link
Poiché DNSSec è un requisito di DANE, e ho un certificato basato su CA, posso mostrare il mio supporto per le distribuzioni basate su DANE pubblicando il mio certificato basato su CA in DNS?
La mia preoccupazione è la coerenza nel cliente. Se c'è un attacco su DNS e una root compromessa, come risponderà ogni cliente?
Bene, DANE può, insieme a Public Key Pinning (HPK) , proteggere gli utenti attuali da usi malevoli (anche se il record DANE è cambiato, i browser ricorderanno ancora le intestazioni HPKP e non riescono a connettersi). Questo non protegge le nuove connessioni. Ma dal momento che HPKP ha una durata di almeno 1 mese, aggiunge una ragionevole sicurezza al tuo "stack".
Since DNSSec is a requirement of DANE, and I have a CA-based certificate, can I show my support for DANE-based deployments by publishing my CA-based cert into DNS?
Certo! È possibile utilizzare un record DANE per il certificato per indicare il certificato corretto, per impedire il successo di un attacco MiTM.
If there is an attack on DNS vs a compromised root, how will each client respond?
Suppongo che per root compromessa si intenda compromettere il server e il certificato per il server DNS root. Sfortunatamente, in questo caso, non c'è soluzione. DNSSEC non aiuterà, ma non ostacolerà il tuo sito. Fortunatamente, questo scenario è estremamente improbabile.
Leggi altre domande sui tag dns dns-spoofing dnssec dane