Acabo de implementar DNSSec. ¿Hay algún beneficio en DANE para un certificado emitido por CA?

4

Acabo de implementar DNSSec en enlace y enlace

Dado que DNSSec es un requisito de DANE, y tengo un certificado basado en CA, ¿puedo mostrar mi soporte para implementaciones basadas en DANE publicando mi certificado basado en CA en DNS?

Mi preocupación es la consistencia en el cliente. Si hay un ataque a DNS frente a una raíz comprometida, ¿cómo responderá cada cliente?

    
pregunta random65537 27.03.2015 - 19:04
fuente

2 respuestas

2

Bueno, DANE puede, junto con Public Key Pinning '(HPKP) , proteger a sus usuarios actuales de usos maliciosos (incluso si el registro DANE cambió, los navegadores aún recordarán los encabezados HPKP y no se puede conectar). Esto no protege nuevas conexiones. Pero como HPKP tiene una vida de al menos 1 mes, agrega una seguridad razonable a su "pila".

    
respondido por el LvB 08.04.2015 - 02:38
fuente
1
  

Dado que DNSSec es un requisito de DANE, y tengo un certificado basado en CA, ¿puedo mostrar mi soporte para implementaciones basadas en DANE publicando mi certificado basado en CA en DNS?

¡Por supuesto! Se puede usar un registro DANE para su certificado para indicar el certificado correcto, para evitar que un ataque MiTM tenga éxito.

  

Si hay un ataque en DNS contra una raíz comprometida, ¿cómo responderá cada cliente?

Voy a asumir que por raíz comprometida quiere decir que el servidor y el certificado para que el servidor DNS raíz se vea comprometido. Desafortunadamente, en este caso, no hay solución. DNSSEC no ayudará, pero tampoco obstaculizará su sitio. Afortunadamente, este escenario es extremadamente improbable.

    
respondido por el ConnorJC 12.08.2016 - 04:57
fuente

Lea otras preguntas en las etiquetas