Quando si configura un server sicuro, si consiglia di non utilizzare certificati autofirmati e invece di essere firmati da una CA. Ovviamente, post-Snowden ora sappiamo che potrebbero esserci problemi con CA che potrebbero consentire attacchi MITM.
La mia domanda quindi è che se un dominio è configurato con DNSSEC corretto, è immune da questo riduce i tipi di attacchi MITM che sarebbero disponibili tramite una CA compromessa? (Spero che sia uscito giusto)
DNSSEC protegge solo i record DNS e da solo non aiuta a verificare i certificati. Questo mitiga il dirottamento del DNS (quando un uomo nel mezzo, ad esempio un gestore di rete minacciato dai governi) restituisce i record DNS falsificati.
Non aiuta contro altri attacchi, in particolare il reindirizzamento del traffico (senza spoofing dei record DNS) o la manomissione del traffico intermedio (e lo avvolge nuovamente in TLS). In questo caso, un utente malintenzionato potrebbe utilizzare un certificato valido emesso da una CA compromessa.
DANE utilizza speciali record DNS firmati da DNSSEC (TLSA-records ) che dichiarano quali certificati sono consentiti per un dominio. Se si raggruppano DNSSEC e DANE, è possibile dichiarare i certificati autofirmati come attendibili (verificati rispetto alla gerarchia di trust DNSSEC) oppure disporre di un secondo percorso di convalida dei certificati firmati dalla CA.
Il grande svantaggio di DANE: la copertura dell'implementazione è ancora molto, molto bassa ; praticamente nessuno lo sta usando (o nemmeno in grado di usarlo) al momento di questa risposta: Firefox e i plugin di Chrome sono disponibili, e Postfix ha il supporto per questo.
Oltre all'eccellente risposta di Jens Erat, DNSSEC non avrebbe impedito IP Hijacking .
IP hijacking (sometimes referred to as BGP hijacking, prefix hijacking or route hijacking) is the illegitimate takeover of groups of IP addresses by corrupting Internet routing tables.
Quindi questo attacco in combinazione con una CA compromessa potrebbe portare a una violazione del sito web dei dati dell'utente.
Leggi altre domande sui tag man-in-the-middle certificate-authority dnssec