¿Necesita DNSSEC si usa HSTS? [duplicar]

4

Estoy tratando de entender los beneficios de DNSSEC.

Si un usuario va a mi sitio example.com y el caché de DNS se envenenó redirigiendo al usuario a la IP del malo, ¿qué pasaría?

He habilitado HSTS.

Según tengo entendido, el usuario verá "Su conexión no es una pantalla privada" y no podrá continuar (a menos que esté usando un navegador más antiguo como IE 10 que no es compatible con HSTS).

¿Puede la persona mala redirigir mi sitio a otro dominio sin pasar por la protección de HSTS o si HSTS detiene la redirección porque no puede encontrar un certificado válido?

Con DNSSEC habilitado, ¿esto detendría al malvado envenenando el caché y el usuario no sabría nada o vería una página de error diferente?

Sé que DNSSEC no protege el último salto.

    
pregunta Peter Brumby 12.05.2018 - 23:07
fuente

2 respuestas

4

Estas son tecnologías muy diferentes y realmente no dependen unas de otras. De hecho, algunos argumentos consideran que DNSSEC no es necesario en general. Yo diría que no, DNSSEC no es necesario si HSTS se usa correctamente (larga duración, precargado). La mayoría de los clientes ni siquiera usan DNSSEC, por lo que los efectos de tenerlo pueden ser mínimos.

Creo que tiene razón al observar que los efectos de DNSSEC en un sitio web servido a través de HTTPS con HSTS configurado son mínimos. En este caso, ya sea que la respuesta de DNS sea correcta o no, el navegador se negará a cargar el sitio web a menos que proporcione un certificado válido (suponiendo que el sitio web esté en la lista de precarga de HSTS o que el navegador ya lo haya visto).

También tenga en cuenta que estas tecnologías funcionan en diferentes capas en el cliente. Si bien el navegador es consciente de la situación de HTTPS / HSTS, no conoce ni se preocupa por el estado de DNS / DNSSEC, ya que esto suele ser manejado por el sistema de resolución del sistema operativo o un servidor ascendente. Sin usar una extensión del navegador para DNSSEC, solo se puede decir si una respuesta regresó o no.

DNSSEC brilla en otros escenarios no web. Un ejemplo, en el ámbito del correo, es DANE (Autenticación basada en DNS de entidades con nombre). Utiliza DNS para recuperar información de certificados para varios servidores. Las DNSSEC son críticas aquí para proteger el tráfico de DNS de la manipulación indebida, ya que tal manipulación permitiría a un adversario sustituir su huella digital de certificado. Otras aplicaciones no web pueden tener requisitos similares para la integridad del DNS.

    
respondido por el multithr3at3d 13.05.2018 - 00:52
fuente
0

Supongamos que está visitando www.mybank.com

DNSSEC garantiza que la dirección IP a la que va a ir, para www.mybank.com, en realidad pertenece a MyBank. Esto sucede criptográficamente, por supuesto.

Una vez que tenga la dirección IP correcta, ahora su navegador envía una solicitud HTTP a la IP (confiable). HSTS ahora garantiza que cuando se realiza la consulta HTTP, se evita la comunicación no basada en SSL. Esto se hace a través de la bandera de HSTS. Por lo tanto, si un actor deshonesto es Man-In-The-Middling su tráfico, no pueden forzar la comunicación a través de HTTP sin SSL.

    
respondido por el sandyp 13.05.2018 - 02:15
fuente

Lea otras preguntas en las etiquetas