Vlákno názorů k článku Protokoly chránící proti nedůsledným a nebezpečným CA od Zdeněk Bouška - Diky za super clanek! Princip DANE me nedavno...

15. 2. 2012 18:25

Zdeněk Bouška

Diky za super clanek! Princip DANE me nedavno taky napadl. Super, ze uz se na tom pracuje :)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2012 9:20

Ondřej Ševeček (neregistrovaný)

k DANE - no s tim DNSSEC je to pekne, ale kdyz ma nekdo falesny SSL certifikat, nemuze fejknout aji DNSSEC? Jestlize chce provest MITM, tak ma zrejme v ruce DNS, tak proc by rovnou nepredstiral i DNSSEC?
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2012 16:23

Ondrej Mikle (neregistrovaný)

Ono je to opacne: pokud utocnik kontroluje DNS server domeny x.y.z, pak si pro domenu x.y.z muze nechat vydat DV-certifikat (domain-validated). CA proste posle mail na adresu typu ssladmin@x.y.z. Jenze utocnik ma v moci MX zaznam, muze to nasmerovat kam chce.

Neplati pro IV, OV, EV certifikaty (identity/organization/extended validation).

Mit falesny SSL/TLS certifikat nestaci ke zmene dat v DNS. Utocnik pro odposlech TLS nemusi mit kontrolu nad DNS, viz pripad Iranu - proste nekde na hranicnim routri DNAT-ovali IP gmailu nekde na svoje stroje. S DNSSEC by museli nejak podvrhnout i podpis TLSA zaznamu nebo dukaz neexistence TLSA zaznamu poskytnutim falesnych NSEC/NSEC3 zaznamu (kde opet musi sfalsovat podpis NSEC/NSEC3).

Zprávičky