Ottenere i server dei nomi di root DNS in modo sicuro

Naviga le tue risposte
0

Non capita spesso che un root name server cambi, ma quando lo fa a volte è richiede mesi per i fornitori di sistemi operativi per fornire le patch e nel frattempo c'è un rischio per la sicurezza.

Come ottenere named.cache (o named.root / db.cache dalla stessa directory - i file sono identici) in modo sicuro da link o ftp://ftp.internic.net/domain/ o link ?

Il server dietro quegli URL non supporta https . Ma ci sono md5 e sig file in queste directory per ogni file di dati disponibile.

Come md5 non è sicuro , potrebbero essere usati i file sig ?

Se sì, come?

(Nota che non sto chiedendo questo su unix.stackexchange.com o su superuser.com poiché sono interessato all'aspetto di sicurezza di questo in modo neutro rispetto alla piattaforma).

    
posta Jeroen Wiert Pluimers 31.05.2015 - 16:29
fonte

2 risposte

1

Il file .sig fornito per ogni zone consente un metodo di verifica utilizzando la firma situata nella parte inferiore delle INTERNIC_ROOT_ZONE.signatures.asc file.

Utilizzando PGP puoi quindi eseguire le seguenti operazioni per la verifica ( vedere la chiave PGP qui ): 

$ gpg --keyserver --recv-key 0x0BD07395
$ gpg --verify zone.sig zone
    
risposta data 31.05.2015 - 16:54
fonte
0

Senza SSL un utente malintenzionato può potenzialmente modificare i file di dati e i file di firma md5 in modo che corrispondano. Quindi forniscono poca sicurezza. I checksum Md5 devono essere forniti su SSL per proteggerli, ma questo non è frequente. I file sig non hanno bisogno di SSL per essere sicuri, a condizione che tu ottenga in modo sicuro la chiave pubblica.

    
risposta data 31.05.2015 - 20:50
fonte

Leggi altre domande sui tag

Messaggio di avviso su Git su IE 11: "un sito Web vuole aprire il contenuto web utilizzando questo programma sul computer" E 'possibile rilevare l'IP reale da un'intestazione modificata [chiusa]