web-dev-qa-db-ja.com

DNSSECを使用すると、CAが発行した証明書に対してDANEにメリットはありますか?

DNSSECをval-id.comgetvalid.comにデプロイしました

DNSSECはDANEの要件であり、CAベースの証明書を持っているので、CAベースの証明書をDNSに公開することで、DANEベースの展開のサポートを示すことができますか?

私の懸念は、クライアントの一貫性です。 DNSと侵害されたルートに対する攻撃があった場合、各クライアントはどのように応答しますか?

5

DANEは、公開鍵ピンニング(HPKP)と組み合わせて、現在のユーザーを悪意のある使用から保護できます(DANEレコードが変更された場合でも、ブラウザーはHPKPヘッダーを記憶し、接続に失敗します)。これは新しい接続を保護しません。ただし、HPKPの寿命は少なくとも1か月なので、「スタック」にかなりの安全性が追加されます。

2
LvB

DNSSecはDANEの要件であり、CAベースの証明書を持っているので、CAベースの証明書をDNSに公開することで、DANEベースの展開のサポートを示すことができますか?

もちろん!証明書のDANEレコードを使用して、正しい証明書を示し、MiTM攻撃の成功を防ぐことができます。

DNSと侵害されたルートに対する攻撃があった場合、各クライアントはどのように応答しますか?

ルートが侵害されたということは、ルートDNSサーバーのサーバーと証明書が侵害されたことを意味すると仮定します。残念ながら、この場合、解決策はありません。 DNSSECは役に立ちませんが、サイトの妨げになることもありません。幸い、このシナリオはほとんどありません。

1
ConnorJC