¿Por qué los navegadores o sistemas operativos no tienen una validación DNSSEC predeterminada?

Navega tus respuestas
12

Muchos solucionadores (incluidos los TLD y los TLD raíz) admiten DNSSEC, y también los servidores OpenDNS de Google lo admiten.

Sin embargo, no está verificado en el lado del cliente de forma predeterminada. ¿Por qué es esto?

    
pregunta whatever489 26.05.2016 - 01:56
fuente

2 respuestas

7

El equipo de seguridad de Chromium dice:

  

DNSSEC y DANE (tipos 2/3) no aumentan considerablemente el nivel de seguridad en comparación con las alternativas, y pueden ser negativos para la seguridad.   DNSSEC + DANE (tipos 0/1) se puede lograr a través de HTTP Public Key Pinning con el mismo efecto, y con un mecanismo de entrega mucho más confiable y consistente.

(consulte enlace )

Han invertido mucho tiempo y esfuerzo trabajando en el soporte de HPKP, y Firefox ha estado utilizando muchas de las herramientas que produjeron (por ejemplo, las listas de anclaje integradas). Por lo tanto, es probable que no vean mucho sentido apoyar un método diferente, cuando tienen uno que consideran mejor. Microsoft también lo ha estado investigando, pero no ha tomado ninguna posición en particular (aunque no parece que hayan estado investigando DNSSEC). Esos son los principales actores en el mercado actual de los navegadores que se inclinan por una alternativa.

Sin embargo, HPKP se basa en HTTP, está diseñado exclusivamente para la web. DNSSEC no tiene esa restricción, por lo que puede usarse para otras aplicaciones. Puede verificar que los registros de DNS provienen realmente del propietario del dominio, lo que puede ser útil para los servidores de correo o para los solucionadores de DNS a pequeña escala, asegurando que un actor malintencionado capaz de modificar el tráfico no pueda manipular los registros de manera indetectable. Debido a esto, todavía se considera importante su implementación: ¡DNS se usa para mucho más que solo páginas web!

    
respondido por el Matthew 09.06.2016 - 16:37
fuente
3

Desde aquí :

  

Desventajas de DNSSEC

     
  • DNSSEC puede agregar una carga significativa a los servidores DNS, lo que aumenta los costos y   Reduciendo la eficiencia de los sistemas DNS actuales. Se requiere significativo   Inversión de recursos por parte de operadores de registro de TLD, dominio.   Registradores de nombres, ISPs y proveedores de hosting.
    •   
  • "Problema de arranque" - a   se requiere un nivel mínimo de implementación antes de que CUALQUIER usuario reciba una   Beneficio mayor que sus costos.
    •   
  • La implementación de DNSSEC requiere software   Tanto en el lado del servidor como en el del cliente, ¿cómo puede obtener la aceptación desde el final?   Los usuarios pueden utilizar sistemas operativos y complementos de navegador compatibles.   DNSSEC, especialmente cuando la mayor complejidad de DNSSEC puede   introducir errores de búsqueda frecuentes o rendimiento disminuido, negativamente   ¿Impactando la experiencia global de internet para los usuarios finales?
    •   
  • DNSSEC es   innecesariamente complicado y un dolor incluso para DNS experimentado   administradores a implementar - DNSSEC agrega complejidad a un sistema que   Es intrínsecamente simple. Existe un potencial de falta de retroceso.   compatibilidad con algunos sistemas que no son DNSSEC, lo que también crea   preocupación.
    •   
  • Muy pocos dominios de nivel superior admiten DNSSEC y algunos   Los gobiernos pueden incluso intentar prohibir la clave de cifrado respaldada por DNSSEC   distribución - los países están preocupados por el control de los EE.UU.   Internet, y puede rechazar cualquier codificación centralizada. Desplegando DNSSEC en   La ausencia de una raíz firmada disminuye la protección contra el caché de DNS   Envenenamiento y ataques similares.
    •   

Por lo que parece que los navegadores podrían admitir DNSSEC de forma predeterminada, a expensas del rendimiento del navegador.

Parece que el uso de DNSSEC hace que no valga la pena en el momento de escribir. Cualquier búsqueda de DNSSEC que no exista tendrá que recurrir al DNS normal, lo que aumentará la latencia.

También hay un problema de experiencia de usuario aquí: ¿cómo un navegador transmite el hecho de que un dominio se buscó a través de DNSSEC? Muchos usuarios no entenderán cómo funciona esta bandera adicional en combinación con el candado. Supongo que podría bloquear las respuestas DNSSEC que no se han firmado correctamente y se niegan a navegar allí, sin embargo, el certificado ya está destinado a verificar que ha llegado al servidor correcto. Y con HPKP puede verificar que no haya ningún certificado emitido por una Autoridad de Certificación fraudulenta.

    
respondido por el SilverlightFox 09.06.2016 - 17:03
fuente

Lea otras preguntas en las etiquetas

¿Cómo evito que se use la información "sacada del registro público" de mi hermana gemela cuando trato de responder preguntas de seguridad? ¿Cuál es la forma correcta de almacenar cadenas de conexión de base de datos desde el punto de vista de la seguridad?