DNSSEC fornisce dichiarazioni firmate che un determinato dominio NON supporta ancora DNSSEC? Se no, perché no?

Question

DNSSEC fornisce dichiarazioni firmate che un determinato dominio NON supporta ancora DNSSEC? Se no, perché no?

#1 da (2 voti)

3

Nella mia classe di sicurezza con David Wagner, abbiamo parlato di alcuni dei motivi per cui DNSSEC non è ampiamente adottato in questo momento. Uno dei motivi era che, per motivi di compatibilità con le versioni precedenti, i clienti devono accettare sia i record DNS firmati sia quelli non firmati. Ciò significa che i siti Web hanno poco incentivo per iniziare a supportare DNSSEC, in quanto un MITM può falsificare un record DNS semplicemente non includendo una firma.

Sembra che una soluzione semplice sarebbe quella di fornire dichiarazioni firmate che un sito Web al momento non supporta DNSSEC, in modo simile al modo in cui le risposte negative firmate funzionano per i sottodomini.

Questa è una parte di DNSSEC, e se no, perché no? Quali altre soluzioni ci sono a questo problema / è un problema?

dns dns-spoofing dnssec

posta Curious Student 17.04.2014 - 06:18

fonte

1 risposta

Leggi altre domande sui tag dns dns-spoofing dnssec

Sicurezza della password su smartphone smarrito o rubato Standard di sicurezza REST

score 2 · Answer 1

This means that websites have little incentive to start supporting DNSSEC, as a MITM can spoof a DNS record simply by not including a signature.

Questo non è corretto. Se un utente malintenzionato MITM invia un risultato senza firma a un client che supporta DNSSEC, la risoluzione verrà non riuscita . Questo perché esiste un record DS firmato per quel dominio restituito dai nameserver del TLD. L'attaccante del MITM non può anche rimuovere quel record, poiché (s) dovrà quindi fornire una risposta, un valido record firmato NSEC / NSEC3 che dimostri che il record DS richiesto non esiste. Questo è impossibile senza ottenere la chiave privata del TLD (o della radice).

It seems that an easy solution to this would be to provide signed statements that a website does not currently support DNSSEC, similar to the way signed negative responses work for subdomains.

Is this a part of DNSSEC, and if not, why not? What other solutions are there to this problem / is it a problem?

Non esiste un record specifico responsabile per i domini che non supportano DNSSEC. Invece, il server dimostrerà che il record DS (che indica che il dominio utilizza DNSSEC) non esiste.

One of the reasons was that for backward compatibility reasons

La specifica EDNS è completamente compatibile con le versioni precedenti. Poiché DNSSEC utilizza EDNS, è anche completamente compatibile con le versioni precedenti. I client che non supportano DNSSEC semplicemente non richiederanno (e il server non risponderà con) firme DNSSEC. Questi client non riceveranno i vantaggi di DNSSEC, ma saranno in grado di interrogare le zone firmate DNSSEC senza problemi. L'uso dei record DS sui server dei nomi radice e sui server dei nomi TLD consente di non firmare TLD e domini senza problemi (tuttavia, tali domini / domini TLD ovviamente non riceveranno i vantaggi di DNSSEC).