¿Protege dnssec contra registradores maliciosos?

7

Con las teorías de conspiración recientes sobre el registrador MarkMonitor Inc., surge la pregunta, si DNSSEC protege contra un malintencionado del registrador ( o siendo atacado).

Esto es especialmente interesante en el contexto de los certificados SSL. En este momento, cualquier autoridad de certificación confiable puede firmar cualquier certificado de servidor. Hay una propuesta, que sugiere, para almacenar las firmas en DNS en su lugar. Esta es una buena idea, ya que reduce la cantidad de enlaces débiles que pueden emitir certificados maliciosos. Pero coloca el acceso a los servidores DNS para la resolución de nombres y la distribución de claves en un lugar central.

    
pregunta Hendrik Brummermann 06.05.2012 - 22:27
fuente

1 respuesta

9

No. DNSSEC no protege la integridad de un nombre DNS si el registrador para ese nombre es malicioso (o está comprometido). El registrador para grumpyavians.com es la fuente última de autoridad para quién posee grumpyavians.com (y, por ejemplo, cuál es la clave pública para grumpyavians.com ). En consecuencia, si el registrador es malicioso o está comprometido, entonces el registrador puede transferir el control o subvertir la seguridad.

Dicho esto, creo que la situación no es tan mala como temía (no es el caso de que cualquier registrador en cualquier lugar pueda comprometer cada nombre de DNS existente). Por ejemplo, que yo sepa, algún registrador aleatorio no puede tomar el control de cada nombre de dominio bajo .com .

Esta es mi comprensión de cómo funciona. Hoy, Verisign administra .com . Eso significa que Verisign controla totalmente .com , y tiene las claves de firma DNSSEC que le permiten crear registros arbitrarios para los nombres de foo.com . Hay una larga lista de registradores de dominio, todos los cuales pueden registrar nombres de dominio bajo .com . La forma en que funciona es que el registrador interactúa con Verisign para solicitar que se le asigne algún nombre (por ejemplo, grumpyavians.com ); Verisign confirma que nadie ya posee grumpyavians.com , luego lo asigna al registrador y mantiene un registro de esta asignación. La transferencia de dominios entre registradores ocurre de manera similar.

Supongamos que posee un nombre de dominio valioso en .com (por ejemplo, hungryfelines.com ). ¿A quién son vulnerables sus registros DNSSEC? Son vulnerables a Verisign y a su registrador. No creo que seas vulnerable a ningún otro registrador, asumiendo que el proceso de transferencia de dominio está asegurado adecuadamente. Advertencia: el proceso de transferencia de dominio está más allá del alcance de DNSSEC, pero es un importante punto potencial de vulnerabilidad en la práctica.

    
respondido por el D.W. 08.05.2012 - 23:29
fuente

Lea otras preguntas en las etiquetas