DNSSEC: хитрости в реальности
Как известно, DNSSEC – это технология, помогающая избавиться от основных проблем с уязвимостями в современной DNS. DNSSEC позволяет подписать цифровой подписью данные по адресации в той или иной доменной зоне. В результате участники и пользователи DNS получат возможность проверять достоверность данных об адресах сайтов. То есть, ранее данные принимались “с верой на слово” и вместо реального сайта под доменом test.ru можно было относительно легко попасть на поддельный, расположенный как бы под тем же адресом. DNSSEC позволяет проверить достоверность данных по подписи и на поддельный сайт не ходить.
Хитрости состоят в том, что DNSSEC может добавить лишнего доверия системе DNS. И в тот момент, когда раскроется очередная уязвимость в реализации криптографических протоколов, проблем может оказаться гораздо больше, потому что пользователи будут больше доверять подписанным ответам. Интересно, что OpenSSL, суперсерьёзная ошибка в которой обнаружилась весной этого года, вполне себе используется в работе серверного ПО для реализации DNSSEC (не всегда, впрочем).
Вот. Есть и другой важный момент.
DNSSEC, с криптологической точки зрения, вполне стандартная система авторизации с иерархией удостоверяющих центров. По логике развития, иерархия подписей должна бы соответствовать иерархии самой DNS. То есть подписывать ключи для конкретных зон должны авторитативные серверы (есть такие серверы, служащие источником первичной информации об адресации). А корневые серверы (грубо говоря, серверы корневого домена “.” – см. “Как работает DNS“) должны выступать “верховным центром доверия”.
Но на практике корневые серверы пока ничего в рамках DNSSEC не подписывают (хотя в ближайшее время DNSSEC там, видимо, появится). И авторитативные серверы доменов верхнего уровня также весьма редко поддерживают DNSSEC. Всё это приводит к тому, что некоторые провайдеры или регистраторы, не являясь источником авторитативной информации в данном домене верхнего уровня, начинают, тем не менее, самостоятельно подписывать зоны DNS. Вроде бы – неплохо, а с другой стороны – вводит клиентов в большое заблуждение, потому что получается, что реальные возможности “удостоверяющего центра” вовсе не соответствуют взятой им на себя ответственности.
Но, вообще говоря, понятно, что DNSSEC нужна, и это сейчас единственный реальный шанс как-то улучшить ситуацию с безопасностью в Сети.
Адрес записки: https://dxdt.ru/2008/09/22/1723/
Похожие записки:
- Машинное обучение и действительные числа
- Шифр "Кузнечик" на ассемблере arm64/AArch64 со 128-битными инструкциями
- Python, "численный" j-инвариант и десятичные цифры
- GigaChat и "прочность шампанского"
- Apple и процессор радиоканала 5G
- Подстановки и определение понятия бита
- Интерпретация DMARC в разрезе DKIM
- Квантовая криптография и стойкость
- Техническое: связь SCT-меток с логами Certificate Transparency
- Пресертификаты в Certificate Transparency
- Twitter за стеной регистрации
1 комментарий от читателей
1. 23rd September 2008, 01:55 // Читатель hartem написал:
DNSSEC безусловнo нужна, но есть практические проблемы связанные с переходом. Вот неплохая статья на эту тему: http://blog.wired.com/27bstroke6/2008/08/experts-accuse.html