Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Реплика: подмена адресов в DNS при “поддержке” DNSSEC
Кстати, если у вас есть секретный ключ от подписей DNSSEC, для, скажем, зоны первого уровня, то быстро подменять адреса и перехватывать трафик в доменах второго уровня этой зоны, не нарушая безопасности ключей, можно так: генерируется “теневая” зона, сразу содержащая нужные “перехватывающие” записи. Эта зона подписывается по той же схеме, что и публичный экземпляр. Узлы, осуществляющие перехват и подмену DNS, имеют доступ к “теневой” зоне, откуда в нужный момент извлекают подписанные записи. Естественно, такая схема работает только при наличии соответствующей авторизации.
По сравнению с инфраструктурой SSL – есть важное отличие: нельзя осуществлять подмену адресов в других доменах первого уровня, от которых у вас нет ключей, а только в своём. SSL-сертификат удостоверяющий центр может выпустить для любого домена.
()
Похожие записки:
- Десятилетие DNSSEC в российских доменах
- Статья о технологии Encrypted Client Hello
- "Пасхалки" в трафике
- Про цепочки, RSA и ECDSA
- TLS-сертификаты dxdt.ru
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Ретроспектива заметок: деанонимизация по географии
- Удостоверяющий центр TLS ТЦИ
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Пресертификаты в Certificate Transparency
- Браузеры и перехват TLS без участия УЦ
- Обновление описания TLS
- Техническое описание TLS: обновление 2022
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
1 комментарий от читателей
1. 1st February 2013, 13:54 // Читатель jno написал:
угу, т.е. домены .ru, .рф и .su можно считать изначально скомпрометированными и на свои заморочки с DNSSEC не тратиться :)