DNSSecとSSLおよびIPsec
理論的には、重要なものはすべてSSLとIPsecで保護されているため、DNSキャッシュポイズニングは問題になりません。
- では、なぜDNSSecが開発されたのでしょうか。
- 最初の2つのプロトコルは十分ではありませんか?
SSLおよびTLSはトランスポートセキュリティを提供しますが、DNS解決後です。したがって、DNSキャッシュが汚染されている場合、接続は間違ったサーバーに送られます。
ただし、接続が確立され、DNSのTTL=が1日で、DNSポイズニングが発生した後は、クライアントはDNS解決を行わないため、これは効果がありません。彼はすでにどこに接続するか知っています...)。
2つのテクノロジーは、異なるアプリケーション用に設計されています。
IPsecは、従来インターネットで使用されているのではなく、ローカルネットワークで使用されています。また、SOHOルーターやその他の非エンタープライズ機器では一般的ではないIPsecをサポートするネットワークインフラストラクチャも必要です。
DNSSECはインターネット全体で機能し、DNSにPKIの形式を提供するように設計されています。トランスポートセキュリティは提供しませんが、DNSハイジャックの防止に役立ちます。