Комментарии 14
" Этот запрос перехватывается рекурсивным резолвером (например, 8.8.8.8 от Google или 1.1.1.1 от Cloudflare)"??? А может быть не перехватывается, а получается им потому что именно ему его и послали.
Тут «перехватывается» использовано не случайно речь о том, что запрос уходит за пределы контролируемой среды.
если DNS-трафик не шифруется (UDP/53), он действительно может быть перехвачен или подменён на любом участке маршрута до резолвера. Особенно в открытых или недоверенных сетях. + некоторые приложения сами перенаправляют DNS-запросы, минуя системные настройки это уже silent hijack. Так что в статье, да и в контексте безопасности формулировка вполне обоснованна. Рекомендую заглянуть RFC 7626 — там эта угроза тоже подробно рассматривается.
Сидели себе оконечные сетевые устройства, дропали, безо всякой логики, невостребованные пакеты...
А потом такое началось. Аж процессора подгорают.
А теперь представьте: заходите на «свой» банковский сайт, а это лишь идеальная копия, созданная мошенниками.
В эпоху HTTPS конечно сложно такое представить (в контексте подмены DNS). Даже если браузер по какой-то причине решит не обращаться к сайту по HTTPS, то неужели пользователя не смутит страшный красный замочек?
Да, логично было бы подумать, что так и есть, но сейчас когда пользователь стремиться к потреблению, он не то что не замеетит замочек, он прямой баннер с большой надписью "ОСТОРОЖНО,не открывать" закроет, просто чтобы не мешало, еще и данные введет лишь бы получить, например, промокод на бесплатный месяц музыки)
Страшная ситуация, однако.
Но если пользователь способен закрыть подобное предупреждение двумя не очень очевидными кликами, то, наверное, ему уже не помочь)
Скрытый текст
Касательно красных замочков, имхо, давно следовало бы сделать, чтобы все сайты по HTTP открывались так, как на скрине выше. Кроме прямых обращений по приватным айпи для всяких админок у роутеров.
Что поставит частные/домашние статичные сайтики еще в большую зависимость от немногочисленных поставщиков сертификатов, все из которых находятся в "недружественных" странах. Крупные/коммерческие проекты то всегда найдут обход, как сейчас с оплатами VISA и т.д.
Пока бесплатную выдачу нам не блочат, часть платных центров сертификации тоже остались работать для ru.
Безусловно, https хорошая штука - могла бы быть, в глобалистичном мире, где все дружат со всеми. Но с текущими тенденциями по фрагментации Интернета обрушивание существующей системы сертификации это вопрос времени.
Например, у такой страны как Северная Корея нет ни одного сайта с валидным сертификатом, его просто не выдадут на такого получателя.
В конечном итоге, касательно чисто одного веба, конечными точками системы сертификации являются популярные веб-браузеры, которые определяют, сертификаты каких центров считать валидными. И все они разрабатываются/зависимы от США.
Впрочем, суверенную/независимую систему роутинга и dns уже построили многие крупные страны. Если тот же Яндекс-браузер станет подавляюще популярен в ру-регионе, это будет похожим решением по автономии и для https.
Хотя, местным продуктам, особенно связанным с безопасностью народ (в т.ч. и я) не особо доверяет, но будет ли выбор...
А может быть когда-то это простимулирует переход сертификации на блокчейн-технологии, с децентрализацией.
Хорошее замечание, но это скорее политическое ограничение, чем техническое.
Как вы уже сказали, сам по себе PKI вполне себе может работать автономно. Единственное, что делает необходимым глобальные CA, это глобальность браузеров/ОС, в которые эти CA должны быть встроены.
По поводу доверия к сертификатам тащ майора Минцифры, Яндекс что-то мутил с Certificate Transparency. Это конечно не блокчейн, но технически тоже распределенный реестр.
А вообще, если говорить про технические ограничения PKI, то похоже нельзя (поправьте, если я не прав) назначить ограничения на корневые сертификаты, чтобы те же национальные CA могли выпускать сертификаты только для собственных зон. Подобная гарантия позволила бы пользователям с меньшими колебаниями добавить их в доверенные, полагая, что конечная инфраструктура сайтов в этих зонах и так контролируется тащ майором.
Но все-таки по поводу страшных диалоговых окон - вообще не использовать HTTPS это точно не выход. Шифровать надо в любом случае, в том числе и статику, такое время.
А еще, в идеале (и вообще удивляет, что это до сих пор не так) правильным решением было бы объединить процесс регистрации домена с выдачей сертификата. Единая точка отказа в случае чего, как NS серверы давно перекочевали к самим регистраторам.
Регистрируешь домен - автоматически получаешь сертификат. Не опционально, у избранных регистраторов. А обязательно. Каждый регистратор домена - центр сертификации. Заодно и интегрировать это внутри с "редактором днс" / выдачей на поддомены или вилдкардами и т.д.
В эпоху LE подмена DNS может привести, в том числе, и к выдаче злоумышленнику валидного сертификата.
Да, хорошее замечание.
Но стоит отметить, что подмена DNS для конечного пользователя и подмена DNS для проверяющей инфраструктуры LE - это не одно и то же.
В первом случае у нас большинство устройств по-прежнему делают нешифрованные DNS запросы сначала на роутер, а затем на DNS-серверы провайдера, который успешно пользуется этим для того же ограничения доступа к заблокированным ресурсам. Впрочем, учитывая, что DNS-трафик не шифруется, по большей части даже не важно куда он направляется.
Во втором случае я ожидаю, что арбитр с властью выдавать сертификаты практически без ограничений, будет как минимум шифровать трафик до резолверов и использовать различные источники для получения более достоверной информации.
Вот, кстати, из недавних кейсов по подмене DNS, который был в конце марта - начале апреля. Скорее всего, там не только с DNS были проблемы, но я заметил, что у некоторых провайдеров (в частности, в мобильном интернете от Билайна) имя mosmetro.ru резолвилось в левый IP-адрес 104.21.16.1 на CloudFlare, что приводило на страницу со скриншота выше.
Интересно было бы технические детали поподробнее узнать от сведущих людей.
Слабенько. Хотелось бы более серьёзного погружения в работу dns
DNS: поддельные записи, перехват трафика и другие ужасы