DNSSECに関するいくつかの論文を読んだところ、多くの攻撃クラスを防ぐことができるようであり、唯一の2つの不利な点は、その展開が難しい(DNSSECが複雑)ことと、DNSSECレコードを調べてすべてのレコードを見つけることができることです。ドメイン内。また、すべてのTLDがDNSSECをサポートしているわけではありません。
Alexaの トップサイト リスト(最初の2ページ)のすべての.comドメインを試しましたが、2ページ目のPaypal.comだけがDNSSECレコードを持っています。これは、30を超える上位.comドメインのうちの1つです...
確かに、Gmail、Ebay、Amazonのようなサイトは、DNSSECによって提供される追加のセキュリティの恩恵を受けることができます。彼らの1人が実際にDNSSECを展開したわけではないので、DNSSECがもたらすメリットを過大評価するDNSSECについて何か悪いことを彼らが知っていると結論付けなければなりません。それは何でしょうか?
DNSSECが「私たちが望むもの」であるかどうかは、実際には不明確です。
現在、Webサイトの認証、つまりWebブラウザが適切なサイトと通信することを確認する方法(HTTPSの実行時)は、約100のルート認証局から発行された デジタル証明書 で行われます。ルートCAは、証明書発行ビジネスに参入することを決定したエンティティであり、何百という点で特別なのは、Microsoft/Apple/Mozilla/Googleと契約して、公開キーを「信頼できる"すべてのブラウザ(またはオペレーティングシステム)のストア。契約には、多くの合法的なギズモと保険が含まれています。
PKIシステムは、その不透明性、個々の証明書の公的コスト、およびいくつかのよく知られた誤解(ルックアップ「Comodo」および「DigiNotar」)についてしばしば批判されましたが、経済的な意味で機能する傾向があります。商業サイトはそれらを使用し、 CAが攻撃されることは非常にまれです(ほとんどの攻撃は、既存のCAを破壊するのではなく、ブラウザが証明書で怪しいものを見つけたときに出力する恐ろしい警告を無視するように誘導することです)。その場合、物事を変更するインセンティブは比較的少なくなります(つまり、さまざまな理由で別のシステムを好む人がたくさんいますが、結局、これらの物事はそれを支払う人によって決定されます)。
[〜#〜] dnssec [〜#〜] は、これらのルートCAをループから外し、代わりにDNS(サーバー名からIPへのマッピング)を維持する人々に認証能力を与えますアドレス)、2つの構造が一緒にバインドされるように:ドメイン名の継承(「サブドメイン」の概念)は、PKIの継承(「中間CA」の概念)とマージされます。
新しいテナントが以前よりもCAビジネスで有能かどうかは不明です。私が言ったように、実際のシステムはすでにかなりうまく機能しており、認証は名前をアドレスにマッピングすることと同じ技術ではありません。このような権力の集中が本当に良いことかどうかもはっきりしない。大企業にとっては何も変わりません。Verisign-the-CAとVerisign-the-registrarはどちらもVerisignです。
技術的な面では、DNSSECはDNSシステムを介して証明書(別名「公開鍵へのIDの署名付きバインディング」)を簡単に配布しますが、これは解決する必要のある問題ではありません。現在、SSL/TLSサーバーは問題なく動作しています彼の証明書チェーンを最初のハンドシェイクの一部として送信し、それはうまく機能します。
したがって、DNSSECの良さに関する不確実性と、既存のPKIに伴う重大な問題の欠如を考えると、大企業によって展開が緊急ではないと見なされていることは不思議ではありません。最初にIPv6を動作させましょう。
以下のコメントで示されているように、DNSSECには、DNSポイズニングをブロックするDNS情報を認証するためのいくつかの値そのままがあります。 DNSポイズニングは 中間者攻撃 を行う簡単方法ですが、信じるのは間違っていますこれによりMiTMの問題が解決されること。攻撃者にとっては、事態を少し難しくするだけです(たとえば、攻撃者は既存のWiFiホットスポットの穴を悪用する代わりに WiFI-pineapple を使用する必要があります)。名前の特定のIPアドレスへのマッピングに関する保証を取得しても、特定のパケットが実際にそのヘッダーに記述されているIPアドレスからのものであるかどうかがわからない場合は、問題が解決されません。
いずれにせよ、それは多くの付加価値を提供しません大きなサーバーに、そしてそれは彼らの不本意を説明するのに十分です。
(ただし、DNSSECには軍事的値があります。DNSポイズニングを防ぐことで、世界的な電子戦争の一部である可能性のある大きなサービス拒否攻撃からの防御に役立ちます。DNSSECは政府によってサポートされることを期待しています、大企業ではありません-しかし、時代やARPANETは古くなっており、インターネットは今日のプライベートベンチャーの領域です。
DNSSECの唯一の問題は、DNSSECが新しいこと、DNSが(明らかに)重要であり、人々がDNS設定を台無しにしたがらないことです。 DNSSECの展開がうまくいかない場合、インターネット全体の存在を失う可能性があります。
DNSルックアップを認証する理由については、優れたファイアウォールが中国以外のユーザーにどのように漏洩するかについて、次の記事をご覧ください。
http://www.sigcomm.org/sites/default/files/ccr/papers/2012/July/2317307-2317311.pdf
DNSをいじくるのは中国だけではありません。クライアント、クライアントのリゾルバー、またはリゾルバーとDNSサーバー間のトラフィックにアクセスできる人は誰でも応答を変更できます。
Webサイトの証明書は、ここでのパズルのほんの一部にすぎません。