¿Cómo sabrán los usuarios si su sesión está protegida por DNSSec o no?

Question

¿Cómo sabrán los usuarios si su sesión está protegida por DNSSec o no?

#1 de Hendrik Brummermann (7 votos)

4

Hay un valor de seguridad definido en tener conexiones verificadas por DNSSec, sin embargo, todavía tengo que ver si el software indica si la conexión es segura.

En última instancia, me gustaría que mis usuarios reconocieran que DNSSec es una solución más segura y que la prefieran o la exijan cuando manejen nuestras transacciones comerciales. Nos daría la ventaja competitiva.

¿Cuáles son mis opciones para que los usuarios vean que están más seguros con DNSSec? No tienen que entenderlo, y es mejor si No es necesario que vaya a los menús para determinar esto. Sugerencias como complementos del navegador o soluciones para aplicaciones LoB son más que bienvenidas.

Es una pena que los certificados EV sean los que resaltan la URL en verde. Pienso que DNSSec es más una mejora de seguridad fundamental que EV, que esencialmente es Security Theatre en comparación .

web-browser tls dns dnssec

pregunta random65537 25.09.2011 - 17:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser tls dns dnssec

¿Existe una taxonomía preexistente de atacantes? ¿Cuándo debo usar el cifrado de la capa de mensajes frente al cifrado de la capa de transporte?

score 7 · Accepted Answer

Creo firmemente que el uso puro de DNSSEC no se debe indicar al usuario en absoluto. DNSSEC solo garantiza que las búsquedas de DNS no sean manipuladas por terceros (¿cuarto?) Terceros.

DNSSEC no garantiza que la conexión se haya establecido realmente con la dirección IP devuelta ni que ningún atacante esté escuchando los datos. Por lo tanto, la DNSSEC pura es demasiado complicada de entender para un usuario promedio en comparación con la pequeña ganancia en seguridad.

Un enfoque interesante es publicar la clave SSL pública a través de DNSEC en lugar de o además de usar las autoridades de certificados SSL tradicionales. Esto resuelve uno de los principales problemas del enfoque tradicional: en este momento, cualquier autoridad de certificación SSL (transitiva) confiable puede firmar certificados para cualquier dominio. Con un enfoque basado en DNSSEC solo puede firmar la autoridad responsable del dominio de nivel superior. Esto disminuye considerablemente la superficie de ataque. (Y le da mucho poder a las autoridades de dominio)

La indicación visual de "SSL con clave pública publicada a través de DNSSEC" debe ser similar a SSL con certificados EV. Dudo que veamos que el enfoque tradicional desaparezca pronto porque hay mucho dinero involucrado.