Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Специально поломанный DNSSEC
Для дальнейшего тестирования DNSSEC и сопутствующих инструментов я сделал пару сломанных зон. Особенно радикально сломана dotsu.su – там в зоне .su указан зарезервированный код алгоритма для DS-записи, а внутри зоны содержатся “сильно кривые” записи DNSKEY. Так, при попытке обработки dotsu.su – успешно падал онлайн-инструмент VeriSign DNSSEC debugger (http://dnssec-debugger.verisignlabs.com/), сейчас, после того, как я написал в техническую поддержку, всё исправили.
Есть вторая зона broken.nox.su, третьего уровня, там пока просто отсутствуют DS-ы в зоне уровнем выше (nox.su), что является более мягким вариантом. Update: теперь для broken.nox.su добавлена DS-запись, которая не соответствует никакому ключу в зоне (ключей там нет, собственно), так что адреса в broken.nox.su с DNSSEC резолвиться не должны.
Вообще, можно с уверенностью сказать, что основные проблемы с DNSSEC-ом будут даже не в том, что зоны станут подписывать криво, а в том, что внедрение разных сложных вспомогательных инструментов даёт новые направления для атак. И скоро мы увидим множество таких атак, в том числе, и на регистраторов.
()
Похожие записки:
- DNS как транспорт для сигналов и данных
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Десятилетие DNSSEC в российских доменах
- Браузеры и перехват TLS без участия УЦ
- Техническое: связь SCT-меток с логами Certificate Transparency
- HTTPS-запись в DNS для dxdt.ru
- TLS-сертификаты dxdt.ru
- Техническое описание TLS: обновление 2022
- Пресертификаты в Certificate Transparency
- Сорок лет Интернету
- Экспериментальный сервер TLS 1.3: замена сертификатов
- "Пасхалки" в трафике
- Обновление темы dxdt.ru
- Удостоверяющий центр TLS ТЦИ
- Про цепочки, RSA и ECDSA
- Ретроспектива заметок: деанонимизация по географии