1cloud.ru corporate blog
Website development
Network technologies
IT Standards
Browsers
Comments 18
0
Честно говоря я не очень понимаю, как DNS over TLS или DNS over HTTPS поможет против подделки каким-то DNS-сервером записей.
0

Правильный ответ — никак. Собственно это про защиту канала передачи данных от / к DNS и никак не заменяет DNSSEC / DANE.

+1
Есть возможность развития в этом направлении, она описана в этой статье в блоге APNIC. Если коротко — DoT может заменить DNSSEC если авторитативные серверы будут поддерживать DoT и отвечать по нему резолверам.
+2
Честно говоря я не очень понимаю, как DNS over TLS или DNS over HTTPS поможет против подделки каким-то DNS-сервером записей.

Тут просто. Если DNS сервер будет работать по принципу HTTPS, то для получения надежного ответа, к нему нужно будет обращаться напрямую с использованием TLS. В этом случае ответ от сервера можно считать валидным, т.к. вероятность его подмены в пути очень мала.

Если TLSA записи передавать открытым текстом, то ничего не мешает на узле провайдера заменять данные своим сертификатом. Вкупе с возможностью организовать MiTM это вообще сводит к нулю идею HTTPS для сайтов.
0

В случае использования DNSSEC, с открытым текстом проблем нет, так как TLSA от MiTM не будут приняты. И точкой доверия в этом случае будут только авторитативные DNS.
В случае же с DoTLS/DOH с TLSA, но без DNSSEC к авторитативным серверам добавляется ещё и резолвер, которому нет проблем подменить сразу и A и TLSA.

-6
Эту проблему можно решить с помощью блокчейна. Да, тут тоже накладные расходы, но если это не специализированный блокчейн, а выполняющий и другие функции, то это не проблема, если данный блокчейн уже широко используется.
+1

Блокчейн пока что не решил ни одной проблемьі. Вьі предлагаете его использовать в вопросе безопастности всего .

-1
Блокчейн пока что не решил ни одной проблемьі. Вьі предлагаете его использовать в вопросе безопастности


Как это связано?

всего


Не всего, а DNS. Кстати, вместо DNS тоже можно юзать блокчейн. А на смартконтрактах организовать покупку доменных имён и их освобождение, перепродажу.
0
Для начала, мне кажется, можно было бы ограничить национальные ЦА своими национальными доменами. Чтобы условный турецкий «TUBITAK Kamu SM SSL Sertifika Hizmet Saglayicisi» не мог выпустить сертификаты для условного google.com. То же самое с будущим российским ЦА, чтобы он был ограничен для ru/рф/su доменов.
Я думаю, что небольшую такую табличку добавить во все браузеры не составит труда (хотя, конечно, конкуренцию урежет).
0
Частично эту проблему решает CAA в DNS, но малоэффективно пока не защищено DNSSEC или аналогичными механизмами.
0

Чаще вижу ситуацию, когда днс-серверы не позволяют создать даже CAA, не то что ещё какие-то новопоявившиеся днс-записи: чаще всего это ограничение веб-интерфейса хостера ДНС. И это, среди прочего, не всегда от лени, но ещё и от нежелание разбираться в сложных вещах при настройке простого по идее самого протокола ДНС-сервера. Т.е. здесь "работает — не трогай" играет против безопасности.


Подумать шире — и поймём, что настройка веб-морды (скорее ее обновление) мельчайшая из проблем. Если админы не разобрались, а оттого побаиваются подписывания днс-зон, то и использовать эти фичи даже на рекурсивных серверах они если и будут, то неохотно.


Ну а принудительно весь мир на dnssec перевести с 1 июля чего года, например — просто невозможно, интернет есть сеть, где рулят не законы, а настоятельные рекомендации (и почти нет наказаний за их нарушение). Переналадки ДНС же — дело тонкое, если что-то пойдет не так — мало не покажется, так что внедряет новшество очень немногие.

0
DNS flag day вполне неплохо заставляет шевелиться админов с перенастройкой серверов.
0
Это больше пугалка чем шевелилка. Пока DNSSEC повсеместно не используется (а именно для него важны EDNS и DNS-over-TCP), ни первый, ни второй DNS Flag Day ровным счётом ничего не меняют для подавляющего большинства клиентов (и серверов) — т.е. всё что резолвилось раньше будет и дальше резолвится, разве что всех клиентских резолверов принудительно заставят использовать DNS-over-TCP для обычных запросов (что практически невероятно).
Only those users with full accounts are able to leave comments. , please.