Almacenamiento de certificados SSL en registros DNS

10

¿Por qué no deshacerse de todas las autoridades de certificación y todo el tipo especial de certificados SSL que existen (validación extendida, etc.) y en su lugar solo se requiere que cualquiera que desee SSL escriba su propio certificado SSL autofirmado y luego lo guarde? en registros DNS.

¿No sería más fácil entonces tener que confiar tanto en las autoridades de certificación de terceros como en DNSSEC? Además, puede eliminar las advertencias de seguridad que brindan los navegadores al utilizar certificados autofirmados, es decir, siempre que su DNS no se haya envenenado, no habría ningún problema, además, cuando se trata de DNS, existe una gran cantidad de opciones. proveedores que no tiene cuando se trata de autoridades de certificados de confianza para los navegadores comunes.     

pregunta jake192 28.09.2014 - 19:30
fuente

2 respuestas

15
  

¿Por qué no deshacerse de todas las autoridades de certificación y todo el tipo especial de certificados SSL que existen (validación extendida, etc.) y en su lugar solo se requiere que cualquiera que desee SSL escriba su propio certificado SSL autofirmado y luego lo guarde? en registros DNS.

Incluso hay un estándar para esto: DANE . Y ya está en uso en algunos sitios, pero actualmente principalmente para SMTPS y no HTTPS.

Pero, necesita DNSSec para asegurarse de que las búsquedas de DNS no sean falsificadas. Porque de lo contrario, un atacante de hombre en el medio podría simplemente enviar su propio certificado dentro de la búsqueda de DNS. Desafortunadamente, DNSSec no se usa mucho en este momento, por lo que por ahora tenemos que vivir con la estructura PKI establecida.

Pero una vez que DNSSec se implementa lo suficientemente profundo, DANE es una tecnología prometedora y puede usarla para usar sus propios certificados autofirmados o para tener una ruta de confianza adicional con los certificados tradicionales basados en CA.

    
respondido por el Steffen Ullrich 28.09.2014 - 20:43
fuente
4

Para tantos problemas como tienen las CA, el DNS es significativamente menos confiable que las CA de SSL. SSL es una de las herramientas que puede protegerlo cuando su DNS está siendo manipulado mediante la verificación de la identidad del servidor remoto. Si mueve los certificados a DNS (sin DNSSEC para verificar la confiabilidad de la respuesta de DNS), le ha dado a alguien que posee su DNS la capacidad de poseer toda su conexión sin que usted pueda detectarla. Mencionó DNSSEC, pero parece que quiere hacer los certificados sin él, y ese es un enfoque que está condenado al fracaso.

La manipulación del DNS es trivial:

Al final del día, si está en la misma red que yo y puedo ver su tráfico de forma pasiva, puedo manipular sus respuestas de DNS, incluso sin realizar un MITM. DNS normalmente usa UDP, por lo que cuando veo su solicitud, puedo "correr" contra el servidor legítimo para devolver una respuesta. Si necesita hacer una búsqueda recursiva, o si va a Internet para obtener OpenDNS o Google Public DNS, es casi seguro que voy a ganar la carrera e inyectar mi respuesta falsa.

    
respondido por el David 28.09.2014 - 20:37
fuente

Lea otras preguntas en las etiquetas