Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
DNS-over-TLS как инструмент трансляции доверия в DNSSEC
Важный момент про DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH): в случае, когда валидацию DNSSEC проводит внешний рекурсивный резолвер, использование DoT/DoH на “последней миле” позволяет эффективно продолжить цепочку доверия DNSSEC до клиента; правда, через дополнительный шаг – аутентификацию сервера в рамках TLS. То есть, если некоторый клиентский stub-резолвер использует гугловый сервис 8.8.8.8 и доверяет его валидации DNSSEC, но сам валидацию не проводит, то, в классическом случае, никто не мешает на транзитном узле вмешиваться в трафик и присылать фиктивные ответы от имени 8.8.8.8, в которых будет что угодно. Использование же DoT/DoH позволяет клиенту аутентифицировать узел (DNS-сервер) и проверять подлинность ответов, что распространяет доверие к валидации DNSSEC на случай, когда клиент не верит транзитным узлам (а им верить давно нельзя).
(Первоначально опубликовано на Facebook.com, 22/11/2019.)
()
Похожие записки:
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Браузеры и перехват TLS без участия УЦ
- Обновление описания TLS
- Про цепочки, RSA и ECDSA
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- TLS для DevOps
- Интернет-протокол "дымовой завесы"
- Смартфон-шпион: восемь лет спустя
- Доверенные программы для обмена сообщениями
- "Пасхалки" в трафике
- "Авторизованный трафик" и будущее Интернета
- Статья о технологии Encrypted Client Hello
- Ретроспектива заметок: деанонимизация по географии
- TLS-сертификаты dxdt.ru
- Удостоверяющий центр TLS ТЦИ
Написать комментарий