Por lo tanto, DNSSEC es para garantizar que la dirección IP devuelta no esté envenenada. Y https es verificar el servidor remoto.
Mi pregunta es que cuando está protegido por https, ¿en qué circunstancias un cliente es vulnerable?
Diga que voy a enlace , incluso si no estoy protegido por DNSSEC, ¿qué daño puede causar un adversario? Supongamos que no hay productos DigiNotar.
Gracias
Los https utilizados correctamente pueden mitigar el riesgo de no usar DNSSsec porque se comprueba si el punto final es el esperado al validar su certificado. Además, el propio transporte de datos está protegido. Hay varias cosas que pueden ir mal con el propio https (cifrados débiles, errores en el proceso de validación, demasiadas CA raíz de confianza con los mismos derechos ...) pero si asumimos que todo esto se maneja correctamente (que a menudo no lo es) https le dará la siguiente protección:
Eso es todo lo que obtienes.
Cabe destacar la ausencia de protecciones contra ataques causados por aplicaciones web inseguras, errores o errores de diseño en el navegador, es decir, CSRF, XSS, exploits que utilizan Flash, Java, Silverlight, ActiveX, incluido código de terceros en el sitio que visita (es decir, redes sociales, seguimiento, anuncios ...) y todos los demás ataques típicos en la web de hoy. Y https tampoco ayudará si su computadora ya está afectada por malware o algún software de seguridad o de ayuda que hace más daño de lo que ayuda.
Supongamos que no hay productos DigiNotar.
¡Pero ahí es donde están todos los beneficios de DNSSEC! Por ejemplo, aquí hay dos situaciones en las que ningún DNSSEC resultará en una sesión comprometida, pero el uso de DNSSEC no:
Lea otras preguntas en las etiquetas tls dns-spoofing dnssec