Názory k článku Bezpečné DNS a DANE do každého počítače?
-
nextsuxStříbrný podporovatelJako další problém bych viděl výkon. Pro DANE je nutné provést další dns dotaz, což bohužel zvyšuje latenci.
-
Filip JirsákStříbrný podporovatelNa ten dotaz pro DANE není nutné čekat na vyřízení dotazu na A/AAAA záznamy. Prohlížeč klidně může poslat všechny dotazy najednou – jak na A/AAAA záznam, tak na DANE záznam, tak na DS záznamy nadřízených domén (pokud je nemá v cache).
-
Kouli (neregistrovaný)
Podle mne ten koncept ZSK+KSK je dobrý tak pro kořenovou zónu. V nižších existují často technická opatření pro jednoduchou změnu toho "top" klíče (tj. KSK) - tj. pro nové podepsání klíčů v nadřazené zóně. Podobně i v .CZ: změna KSK pro doménu něco.cz v databázi NICu je o dost jednodušší, než třeba změny certifikátů X.509 (revokace).
Dá se na to dívat také tak, že KSK+ZSK nesníží množství dat z 2k na 1k bitů, ale že ho zvýší na 3k. Za úplně zbytečný ho považuji hlavně na serverech 2. úrovně (něco.cz), kde bývají KSK i ZSK uloženy na jednom místě a skripty okopírované z různých návodů jen podepisují/mění KSK a ZSK s různou časovou periodou. Já používám jediný RSA klíč 2k...
-
Ondřej CaletkaZlatý podporovatelPodobně i v .CZ: změna KSK pro doménu něco.cz v databázi NICu je o dost jednodušší, než třeba změny certifikátů X.509 (revokace).
To záleží případ od případu. Třeba revokace certifikátu od Let's Encrypt je jedno API volání, vystavení nového další tři. Změna DS záznamu v .CZ se liší registrátor od registrátora, s tím že někteří ani žádné API nemají. A změna DS záznamů v jiné TLD se zase dělá úplně jinak. Domnívám se, že drtivá většina držitelů domén edituje DS záznamy ručně a asi by něco takového nechtěla dělat každý měsíc.
Dá se na to dívat také tak, že KSK+ZSK nesníží množství dat z 2k na 1k bitů, ale že ho zvýší na 3k.
Tak to ale není. Stačí prolomit kterýkoli z nich a zóna je kompromitovaná.
Za úplně zbytečný ho považuji hlavně na serverech 2. úrovně (něco.cz), kde bývají KSK i ZSK uloženy na jednom místě a skripty okopírované z různých návodů jen podepisují/mění KSK a ZSK s různou časovou periodou. Já používám jediný RSA klíč 2k...
Dvojice klíčů nemá jen bezpečnostní, ale i výkonostní význam. Kratší klíče generují kratší podpisy, zabírají méně místa a ověřují se rychleji. Pro zóny, kde je hodně záznamů tam tedy může být výkonostní benefit, pokud je ZSK kratší než KSK. Pro zóny, kde je jen pár jmen, případně kde jsou ZSK i KSK stejně dlouhé, je použití dvojice klíčů uložených na stejném uložišti skutečně zbytečné.
-
Filip JirsákStříbrný podporovatel
Taky se bojím, že to LE oddálil. Bez LE by byl větší tlak na to vykašlat se na DV certifikáty a dávat místo toho self-signed certifikáty do DANE. LE vydávání DV certifikátů zlevnilo, takže teď bude menší tlak na to se jich zbavit. To, že jsou DV certifikáty nesmyslné, zjevně nestačí - cena byl podstatný argument proti.
-
ebik (neregistrovaný)
To neni uplne pravda. Self-signed certifikaty v nekterych aplikacich (a hadam i prohlizecich) nefunguji, nebo vyzaduji odkliknuti, i pres to, ze maji DANE zaznam. Ti kdo maji o pouziti ssl "profesionalni" zajem (to jako ze z titulu sve profese se jim hodi dat stranky na https), tak stejne pouziji starou DV technologii (i kdyby nebyla tak levna) a o self-signed certifikatech ani poradne neuvazuji.
Co se mozna oddalilo, je poptavka po klientech kteri by DANE spravne podporovali, ale v dobe kdy casto jeste musite byt kompatibilni s ---ie6/winxp--- pardon s ie9/winVista, moderni klienti jeste bohuzel nehraji moc roli. -
-
. (neregistrovaný)
"To ovšem nebrání používat jej oportunisticky, všude tam, kde jen to bude možné, a přepínat na staré DNS jen tam, kde to bude nezbytné."
No neviem, toto mi pripadá ako sprostosť, ale dosť možné, že tomu len nerozumiem. Však pri takomto oportunizme by stačilo, aby útočník imitoval iba staré dns a klient by netušil, že pristupuje na podvrhnutý server.
Praktickejšie by som to videl tak, keby aspoň jeden z mainstreamových browserov naozaj DANE a DNSSEC podporoval a vyžadoval. A ak by provider nemal v poriadku DNS a touto podporou, tak by hlásil, že je tu bezpečnostné riziko. Všetci provideri by sa veľmi rýchlo poponáhľali, aby to podporovali správne.
ČLÁNKY DO MAILU