Al configurar un servidor seguro, se sugiere no utilizar certificados autofirmados y, en cambio, estar firmado por una CA. Por supuesto, después de Snowden, ahora sabemos que puede haber problemas con las CA que podrían permitir los ataques MITM.
Entonces, mi pregunta es si un dominio está configurado con DNSSEC adecuado, ¿es inmune a si esto mitiga los tipos de ataques MITM que estarían disponibles a través de una CA comprometida? (Espero que salga bien)
DNSSEC solo protege los registros DNS, y por sí solo no ayuda a verificar los certificados. Esto mitiga el secuestro de DNS (cuando un hombre en el medio, por ejemplo, un proveedor de red amenazado por los gobiernos) devuelve registros de DNS falsos.
No ayuda contra otros ataques, especialmente redireccionando el tráfico (sin falsificar los registros DNS) o manipulando el tráfico intermedio (y envolviéndolo nuevamente en TLS). En este caso, un atacante podría usar un certificado válido emitido por una CA comprometida.
DANE utiliza registros DNS especiales, firmados por DNSSEC ( TLSA-records ) que declaran qué certificados están permitidos para un dominio. Si reúne DNSSEC y DANE, es posible declarar certificados autofirmados como confiables (verificados en la jerarquía de confianza de DNSSEC), o tener una segunda ruta de validación de certificados firmados por CA.
La gran desventaja de DANE: la cobertura de la implementación sigue siendo muy, muy baja ; casi nadie lo está utilizando (ni siquiera puede usar) en el momento de esta respuesta: los complementos de Firefox y Chrome están disponibles, y Postfix tiene soporte para ello.
Además de la excelente respuesta de Jens Erat, DNSSEC no evitaría el secuestro de IP .
El secuestro de IP (a veces denominado secuestro BGP, secuestro de prefijo o secuestro de ruta) es la toma ilegítima de grupos de direcciones IP al corromper las tablas de enrutamiento de Internet.
Por lo tanto, este ataque en combinación con una CA comprometida podría llevar a un sitio web que comprometa los datos del usuario.
Lea otras preguntas en las etiquetas man-in-the-middle certificate-authority dnssec