¿DANE es la variante de DNS de la Fijación de Clave Pública HTTP (HPKP)?

Navega tus respuestas
0

Estoy tratando de entender los registros DANE y TLSA con mayor precisión. ¿Es justo llamar a DANE la variante DNS de (o al menos una técnica muy similar a) HTTP Public Key Pinning (HPKP)?

Debido a que con HPKP se puede fijar un certificado SSL utilizando un encabezado HTTP y utilizando el DANE, un certificado puede ser "fijado" en el nivel de DNS, ¿no?

    
pregunta Bob Ortiz 05.02.2018 - 00:05
fuente

2 respuestas

1

Si bien tanto DANE / TLSA como HPKP están relacionados de alguna manera con la validación del servidor mediante claves públicas o certificados, abordan diferentes aspectos de la validación. Esto significa que DANE no puede considerarse el equivalente DNS de HPKP.

  • HPKP se preocupa por las futuras conexiones al sitio.
    Especifica qué claves se esperarán en el futuro y, por lo tanto, hace posible que el cliente haga ajustes y proteja contra el futuro hombre en el ataques intermedios que utilizan certificados emitidos por una CA confiable pero comprometida (como en el caso de DigiNotar ). Por lo tanto, agrega protección adicional a la PKI actual (con un almacén de confianza en cada cliente) y no funciona sin ella.
  • DANE / TLSA se preocupa por la conexión actual .
    Especifica qué claves / certificados deben usarse para la conexión actual. Por lo tanto, puede funcionar como un reemplazo de la PKI actual. Esencialmente, mueve la confianza de la PKI actual para confiar en DNSSec (que es esencialmente una PKI diferente).

Desde la perspectiva del propietario del sitio, HPKP permite solo agregar restricciones adicionales para fortalecer el sistema PKI actual. El propietario aún necesita obtener un certificado de una CA de confianza. DANE / TLSA, en cambio, permite al propietario controlar completamente el proceso de validación (en lugar de solo un pequeño aspecto) siempre que el cliente confíe en la PKI detrás de DNSSec y el dominio esté protegido por DNSSec.

    
respondido por el Steffen Ullrich 05.02.2018 - 06:52
fuente
0

Para citar el RFC :

  

Extracto

     

La comunicación cifrada en Internet a menudo utiliza la capa de transporte      Seguridad (TLS), que depende de terceros para certificar las claves.      usado. Este documento mejora esa situación al permitir la      administradores de nombres de dominio para especificar las claves utilizadas en ese      servidores TLS del dominio. Esto requiere mejoras coincidentes en TLS      software de cliente, pero no hay cambios en el software del servidor TLS.

     

Sección 1.1

     

... Autenticación basada en DNS de entidades con nombre (DANE) ofrece la opción      utilizar la infraestructura DNSSEC para almacenar y firmar claves y      Certificados que son utilizados por TLS. DANE se concibe como una      base preferible para vincular claves públicas a nombres DNS, debido a que      Entidades que garantizan el enlace de datos de clave pública a nombres DNS      son las mismas entidades responsables de administrar los nombres DNS en      pregunta. Si bien el sistema resultante aún tiene seguridad residual.      vulnerabilidades, restringe el alcance de las aserciones que pueden ser      hecho por cualquier entidad, consistente con el alcance del nombre impuesto por el      Jerarquía del DNS. Como resultado, DANE encarna el principio de "seguridad de      privilegio mínimo "que falta en el modelo de CA público actual ...

DANE y TLSA proporcionan una forma de confiar en un certificado para un dominio sin tener que estar firmado por una CA, esto es diferente de HPKP porque HPKP aún requiere que una CA firme el certificado, solo limita los certificados firmados que son confiables. / p>     

respondido por el jrtapsell 05.02.2018 - 00:53
fuente

Lea otras preguntas en las etiquetas

Grabación encontrada de una llamada telefónica desconocida: ¿alguien hackeó mi teléfono Android? [cerrado] Cómo whoer.net puede obtener el sistema operativo y el módem de TCP / IP y su versión