Acabo de implementar DNSSec en enlace y enlace
Dado que DNSSec es un requisito de DANE, y tengo un certificado basado en CA, ¿puedo mostrar mi soporte para implementaciones basadas en DANE publicando mi certificado basado en CA en DNS?
Mi preocupación es la consistencia en el cliente. Si hay un ataque a DNS frente a una raíz comprometida, ¿cómo responderá cada cliente?
Bueno, DANE puede, junto con Public Key Pinning '(HPKP) , proteger a sus usuarios actuales de usos maliciosos (incluso si el registro DANE cambió, los navegadores aún recordarán los encabezados HPKP y no se puede conectar). Esto no protege nuevas conexiones. Pero como HPKP tiene una vida de al menos 1 mes, agrega una seguridad razonable a su "pila".
Dado que DNSSec es un requisito de DANE, y tengo un certificado basado en CA, ¿puedo mostrar mi soporte para implementaciones basadas en DANE publicando mi certificado basado en CA en DNS?
¡Por supuesto! Se puede usar un registro DANE para su certificado para indicar el certificado correcto, para evitar que un ataque MiTM tenga éxito.
Si hay un ataque en DNS contra una raíz comprometida, ¿cómo responderá cada cliente?
Voy a asumir que por raíz comprometida quiere decir que el servidor y el certificado para que el servidor DNS raíz se vea comprometido. Desafortunadamente, en este caso, no hay solución. DNSSEC no ayudará, pero tampoco obstaculizará su sitio. Afortunadamente, este escenario es extremadamente improbable.
Lea otras preguntas en las etiquetas dns dns-spoofing dnssec dane