Názor k článku HTTPS by mělo být všude od Franta Kučera - DANE ale nepřináší žádné zlepšení – je stejně...
-
DANE ale nepřináší žádné zlepšení – je stejně „špatné“ jako ty DV certifikáty akorát z té „špatnosti“ dělá normu. Resp. ono není špatné ani jedno – prostě je to jen určitá úroveň zabezpečení/důvěrnosti – někomu stačí, někomu ne – ten musí použít něco lepšího (EV, doplňky do prohlížeče, další nezávislou cestu k ověření certifikátu atd.).
Ad „Když je útočník schopen mi manipulovat se spojením, může za mě klidně potvrdit správu domény a získá si platný certifikát“
A stejně tak ti může nastavit DANE záznamy.
Ovšem pokud útočník může manipulovat jen* se spojením mezi uživatelem a serverem (a ne se spojením správce toho serveru), tak může přesměrovat DNS záznamy na jiné IP adresy nebo přesměrovat TCP spojení, ale není mu to nic platné, protože nebude mít důvěryhodný certifikát (muselo by dojít k dalším chybám a selháním – nicméně sama o sobě možnost manipulace se spojením žádné riziko nepředstavuje, maximálně DoS).
DANE prostě dává smysl jako doplněk** stávající infrastruktury, ne jako její náhrada.
Jde vlastně o jakousi druhou CA, která může také potvrdit pravost certifikátu a tím zvýšit úroveň zabezpečení. Pro úspěšný útok by pak muselo dojít k selhání dvou subjektů (správců CA a správců DNS). Ovšem pokud bychom se spoléhali jen na DANE, dojde naopak ke zhoršení, protože stačí, aby selhal jeden systém/subjekt – DNS – veškerá odpovědnost je pak na něm (dokonce ani není potřeba útočit na spojení a přesměrovávat TCP/IP – když už můžu manipulovat s DNS, tak si nastavím záznamy na svoje servery).
*) což bude velmi častý až nejčastější případ
**) nezávislý kanál pro ověření certifikátu resp. distribuci jeho otisku
ČLÁNKY DO MAILU