DNSSECをval-id.com
とgetvalid.com
にデプロイしました
DNSSECはDANEの要件であり、CAベースの証明書を持っているので、CAベースの証明書をDNSに公開することで、DANEベースの展開のサポートを示すことができますか?
私の懸念は、クライアントの一貫性です。 DNSと侵害されたルートに対する攻撃があった場合、各クライアントはどのように応答しますか?
DANEは、公開鍵ピンニング(HPKP)と組み合わせて、現在のユーザーを悪意のある使用から保護できます(DANEレコードが変更された場合でも、ブラウザーはHPKPヘッダーを記憶し、接続に失敗します)。これは新しい接続を保護しません。ただし、HPKPの寿命は少なくとも1か月なので、「スタック」にかなりの安全性が追加されます。
DNSSecはDANEの要件であり、CAベースの証明書を持っているので、CAベースの証明書をDNSに公開することで、DANEベースの展開のサポートを示すことができますか?
もちろん!証明書のDANEレコードを使用して、正しい証明書を示し、MiTM攻撃の成功を防ぐことができます。
DNSと侵害されたルートに対する攻撃があった場合、各クライアントはどのように応答しますか?
ルートが侵害されたということは、ルートDNSサーバーのサーバーと証明書が侵害されたことを意味すると仮定します。残念ながら、この場合、解決策はありません。 DNSSECは役に立ちませんが、サイトの妨げになることもありません。幸い、このシナリオはほとんどありません。