1cloud 1 июн 2019 в 21:26

Есть мнение: технология DANE для браузеров провалилась

4 мин

9.4K

Блог компании 1cloud.ruВеб-разработка*Сетевые технологии*IT-стандарты*Браузеры

+14

Комментарии 19

Evengard 1 июн 2019 в 23:15

Честно говоря я не очень понимаю, как DNS over TLS или DNS over HTTPS поможет против подделки каким-то DNS-сервером записей.

mxms 2 июн 2019 в 00:06

Правильный ответ — никак. Собственно это про защиту канала передачи данных от / к DNS и никак не заменяет DNSSEC / DANE.

YourChief 2 июн 2019 в 02:24

Есть возможность развития в этом направлении, она описана в этой статье в блоге APNIC. Если коротко — DoT может заменить DNSSEC если авторитативные серверы будут поддерживать DoT и отвечать по нему резолверам.

Zoomerman 2 июн 2019 в 04:22

Честно говоря я не очень понимаю, как DNS over TLS или DNS over HTTPS поможет против подделки каким-то DNS-сервером записей.

Тут просто. Если DNS сервер будет работать по принципу HTTPS, то для получения надежного ответа, к нему нужно будет обращаться напрямую с использованием TLS. В этом случае ответ от сервера можно считать валидным, т.к. вероятность его подмены в пути очень мала.

Если TLSA записи передавать открытым текстом, то ничего не мешает на узле провайдера заменять данные своим сертификатом. Вкупе с возможностью организовать MiTM это вообще сводит к нулю идею HTTPS для сайтов.

DerRotBaron 2 июн 2019 в 11:19

В случае использования DNSSEC, с открытым текстом проблем нет, так как TLSA от MiTM не будут приняты. И точкой доверия в этом случае будут только авторитативные DNS.
В случае же с DoTLS/DOH с TLSA, но без DNSSEC к авторитативным серверам добавляется ещё и резолвер, которому нет проблем подменить сразу и A и TLSA.

sHaggY_caT 2 июн 2019 в 08:51

Эту проблему можно решить с помощью блокчейна. Да, тут тоже накладные расходы, но если это не специализированный блокчейн, а выполняющий и другие функции, то это не проблема, если данный блокчейн уже широко используется.

-6

НЛО прилетело и опубликовало эту надпись здесь

sHaggY_caT 2 июн 2019 в 19:28

Блокчейн пока что не решил ни одной проблемьі. Вьі предлагаете его использовать в вопросе безопастности

Как это связано?

всего

Не всего, а DNS. Кстати, вместо DNS тоже можно юзать блокчейн. А на смартконтрактах организовать покупку доменных имён и их освобождение, перепродажу.

-1

vibornoff 3 июн 2019 в 12:25

Да вы namecoin придумали. Не взлетело.

sHaggY_caT 3 июн 2019 в 15:59

del

Tatikoma 2 июн 2019 в 13:58

Namecoin?

Tangeman 2 июн 2019 в 16:43

Вы не поверите: How Certificate Transparency Works

Revertis 2 июн 2019 в 13:52

Для начала, мне кажется, можно было бы ограничить национальные ЦА своими национальными доменами. Чтобы условный турецкий «TUBITAK Kamu SM SSL Sertifika Hizmet Saglayicisi» не мог выпустить сертификаты для условного google.com. То же самое с будущим российским ЦА, чтобы он был ограничен для ru/рф/su доменов.
Я думаю, что небольшую такую табличку добавить во все браузеры не составит труда (хотя, конечно, конкуренцию урежет).

Tangeman 2 июн 2019 в 16:54

Частично эту проблему решает CAA в DNS, но малоэффективно пока не защищено DNSSEC или аналогичными механизмами.

achekalin 2 июн 2019 в 14:00

Чаще вижу ситуацию, когда днс-серверы не позволяют создать даже CAA, не то что ещё какие-то новопоявившиеся днс-записи: чаще всего это ограничение веб-интерфейса хостера ДНС. И это, среди прочего, не всегда от лени, но ещё и от нежелание разбираться в сложных вещах при настройке простого по идее самого протокола ДНС-сервера. Т.е. здесь "работает — не трогай" играет против безопасности.

Подумать шире — и поймём, что настройка веб-морды (скорее ее обновление) мельчайшая из проблем. Если админы не разобрались, а оттого побаиваются подписывания днс-зон, то и использовать эти фичи даже на рекурсивных серверах они если и будут, то неохотно.

Ну а принудительно весь мир на dnssec перевести с 1 июля чего года, например — просто невозможно, интернет есть сеть, где рулят не законы, а настоятельные рекомендации (и почти нет наказаний за их нарушение). Переналадки ДНС же — дело тонкое, если что-то пойдет не так — мало не покажется, так что внедряет новшество очень немногие.

Tatikoma 2 июн 2019 в 14:26

DNS flag day вполне неплохо заставляет шевелиться админов с перенастройкой серверов.

Tangeman 2 июн 2019 в 17:00

Это больше пугалка чем шевелилка. Пока DNSSEC повсеместно не используется (а именно для него важны EDNS и DNS-over-TCP), ни первый, ни второй DNS Flag Day ровным счётом ничего не меняют для подавляющего большинства клиентов (и серверов) — т.е. всё что резолвилось раньше будет и дальше резолвится, разве что всех клиентских резолверов принудительно заставят использовать DNS-over-TCP для обычных запросов (что практически невероятно).

suffix_ixbt 23 фев 2020 в 21:27

Распространённость dnssec конечно важна, но после того как уже много лет назад поддержку tlsa dane выпилили из Хрома — это технология стала к сожалению обречена :(

Зарегистрируйтесь на Хабре, чтобы оставить комментарий