Si DNSSEC es tan útil, ¿por qué no existe su implementación para los dominios principales?

24

He leído varios artículos en DNSSEC, y parece que previene muchas clases de ataques, y las únicas dos desventajas posibles es que su implementación es difícil (DNSSEC es compleja), y que puede recorrer registros DNSSEC y encontrar todos los registros en su dominio. Además, no todos los TLD admiten DNSSEC.

Probé todos los dominios .com en la lista de sitios principales de Alexa (primeras dos páginas), y solo paypal.com en la segunda La página tiene registros DNSSEC. Eso es de más de 30 dominios .com principales ...

Seguramente sitios como Gmail, Ebay, Amazon pueden beneficiarse de la seguridad adicional que ofrece DNSSEC. Como ninguno de ellos implementó DNSSEC, debo concluir que saben algo malo sobre DNSSEC que sobrepasa los beneficios que ofrece. ¿Qué podría ser?

    
pregunta haimg 04.10.2012 - 18:29
fuente

2 respuestas

14

En realidad, no está claro si DNSSEC es "lo que queremos".

En este momento, la certificación del sitio web, es decir, cómo un navegador web se asegura de que se comunica con el sitio correcto (al realizar HTTPS) se realiza con certificados digitales emitidos por aproximadamente un centenar de Autoridades de Certificación Root. La CA raíz son entidades que decidieron entrar en el negocio de la emisión de certificados, y lo que hace que el centenar sea tan especial es que hicieron un trato con Microsoft / Apple / Mozilla / Google para incluir su clave pública en la "confianza". "Tienda de cada navegador (o sistema operativo). El acuerdo incluye muchos artilugios y seguros legalistas.

Aunque a menudo es criticado por su opacidad, el costo público de los certificados individuales y algunos errores bien publicitados (consulta "Comodo" y "DigiNotar"), el sistema PKI tiende a funcionar, en un sentido económico: los sitios comerciales los utilizan , y las AC son muy raramente atacadas (la mayoría de los ataques son para inducir al usuario crédulo a ignorar las advertencias de miedo que emite el navegador cuando encuentra algo sospechoso con los certificados, en lugar de preocuparse por subvertir una CA existente). Entonces hay relativamente pocos incentivos para cambiar las cosas (es decir, hay mucha gente que preferiría otro sistema por una variedad de razones, pero, en última instancia, estas cosas las deciden quienes las pagan).

DNSSEC se trata de eliminar a estos CA raíz, y en su lugar, otorgar el poder de certificación a las personas que mantienen El DNS (la asignación de nombres de servidor a direcciones IP), de tal manera que las dos estructuras se unirían entre sí: la herencia del nombre de dominio (con la noción de "subdominio") se fusionaría con la herencia PKI (con la noción de "CA intermedia").

No está claro si los nuevos inquilinos serían más competentes en el negocio de CA que el anterior; como dije, el sistema real ya funciona bastante bien, y la certificación no es lo mismo que asignar nombres a direcciones. Tampoco está claro si tal concentración de poderes es realmente algo bueno. Para los grandes jugadores, no cambiaría nada: Verisign-the-CA y Verisign-the-registrar son Verisign.

En el aspecto técnico, DNSSEC ofrece una fácil distribución de certificados (también conocidos como "enlaces firmados de identidades a claves públicas") a través del sistema DNS, pero ese no es un problema que deba resolverse: en este momento, cualquier SSL / El servidor TLS con mucho gusto envía su cadena de certificados como parte del protocolo inicial, y funciona bien.

Por lo tanto, dadas las incertidumbres sobre la bondad de DNSSEC y la falta de problemas flagrantes con la PKI existente, no es de extrañar que las grandes empresas consideren que el despliegue no es urgente. Hagamos que IPv6 funcione primero.

Como lo indican los comentarios a continuación, DNSSEC tiene algún valor en sí mismo para autenticar la información de DNS, que bloquea el envenenamiento de DNS. El envenenamiento de DNS es la forma fácil de hacer un ataque Man-in-the-Middle , pero sería erróneo creer que esto resuelve los problemas de MiTM; simplemente dificulta un poco las cosas para el atacante (por ejemplo, el atacante debe usar una WiFI-pineapple en lugar de simplemente abusar un agujero en un punto de acceso WiFi existente). Obtener garantías sobre la asignación de un nombre a una dirección IP determinada no lo llevará lejos si no puede saber si un paquete dado realmente proviene de la dirección IP que está escrita en su encabezado.

De cualquier manera, no proporciona mucho valor agregado a los servidores grandes , y eso es suficiente para explicar su renuencia.

(DNSSEC tiene un valor de militar : al prevenir el envenenamiento de DNS, ayuda a defenderse contra los ataques de denegación de servicio importantes que podrían ser parte de alguna guerra electrónica global. Espero que DNSSEC sea apoyados por gobiernos, no por grandes empresas, pero los días o ARPANET se han ido hace mucho tiempo, e Internet es el territorio de las empresas privadas en la actualidad.)

    
respondido por el Thomas Pornin 04.10.2012 - 18:53
fuente
6

Lo único que está mal con DNSSEC es que es nuevo, el DNS es (obviamente) importante y las personas son reacias a meterse con su configuración de DNS. Si su implementación de DNSSEC falla, podría perder toda su presencia en Internet.

En cuanto a por qué querría autenticar las búsquedas de DNS, lea este documento sobre cómo el gran firewall se filtra a los usuarios fuera de China:

enlace

No solo es China la que muda con el DNS, cualquiera que tenga acceso al tráfico entre un cliente, el que resuelve el cliente o el que realiza la resolución y los servidores de DNS también pueden alterar las respuestas.

Los certificados para sitios web son solo una pequeña parte del rompecabezas aquí.

    
respondido por el JasperWallace 09.09.2013 - 18:21
fuente

Lea otras preguntas en las etiquetas