Cuando se usa https pero no DNSSEC, ¿en qué situación un cliente es vulnerable?

11

Por lo tanto, DNSSEC es para garantizar que la dirección IP devuelta no esté envenenada. Y https es verificar el servidor remoto.

Mi pregunta es que cuando está protegido por https, ¿en qué circunstancias un cliente es vulnerable?

Diga que voy a enlace , incluso si no estoy protegido por DNSSEC, ¿qué daño puede causar un adversario? Supongamos que no hay productos DigiNotar.

Gracias

    
pregunta Eniaczz 09.03.2015 - 21:02
fuente

2 respuestas

7

Los https utilizados correctamente pueden mitigar el riesgo de no usar DNSSsec porque se comprueba si el punto final es el esperado al validar su certificado. Además, el propio transporte de datos está protegido. Hay varias cosas que pueden ir mal con el propio https (cifrados débiles, errores en el proceso de validación, demasiadas CA raíz de confianza con los mismos derechos ...) pero si asumimos que todo esto se maneja correctamente (que a menudo no lo es) https le dará la siguiente protección:

  • Hablas con el servidor correcto.
  • El tráfico entre el navegador y el servidor está protegido en tránsito contra el rastreo y la modificación.

Eso es todo lo que obtienes.

Cabe destacar la ausencia de protecciones contra ataques causados por aplicaciones web inseguras, errores o errores de diseño en el navegador, es decir, CSRF, XSS, exploits que utilizan Flash, Java, Silverlight, ActiveX, incluido código de terceros en el sitio que visita (es decir, redes sociales, seguimiento, anuncios ...) y todos los demás ataques típicos en la web de hoy. Y https tampoco ayudará si su computadora ya está afectada por malware o algún software de seguridad o de ayuda que hace más daño de lo que ayuda.

    
respondido por el Steffen Ullrich 10.03.2015 - 02:24
fuente
0
  

Supongamos que no hay productos DigiNotar.

¡Pero ahí es donde están todos los beneficios de DNSSEC! Por ejemplo, aquí hay dos situaciones en las que ningún DNSSEC resultará en una sesión comprometida, pero el uso de DNSSEC no:

Resolver secuestrado

  • Se emite un certificado fraudulento para un sitio web
  • Los servidores DNS de un ISP están secuestrados para apuntar a la IP incorrecta

Intoxicación de caché

  • Se emite un certificado fraudulento para un sitio web
  • La memoria caché de un resolutor está envenenada con una IP maliciosa
respondido por el ConnorJC 12.08.2016 - 05:14
fuente

Lea otras preguntas en las etiquetas