8 aastat hiljem :
Pean järeldama, et nad teavad DNSSEC-ist midagi halba, mis kaalub üles selle pakutavad eelised.
Ei pruugi. Nii nagu mis tahes muu tehnoloogia puhul, on ka küsimus milliseid stiimuleid kaasatud sidusrühmad pakuvad? . Kui vaatate ICANNi DNSSEC-i aruannet, näete, et peaaegu kõik tippdomeenid toetavad praegu DNSSEC-i.
Miks tarbijad seda ei kasuta? Noh, sellele pole ka lihtne vastata. Üldiselt, kui te ei soovi oma nimeserverite käivitamisega vaeva näha, peate mõne funktsiooni, näiteks DNSSECi eest hoolitsema registripidajast. Chungi jt uuring. 2017. aastal [1] näitas, et "20 parimast registripidajast ainult kolm toetavad DNSSEC-i, kui nad on DNS-operaatorid". Isegi kui teie nimeserver on DNSSEC-i kasutamiseks õigesti konfigureeritud, ei ole mingit garantiid, et kasutajad kasutaksid (rekursiivseid) lahendajaid, mis on DNSSEC-teadlikud ja nõuetekohaselt kontrollivad DNSSEC-i kirjeid [2].
Lõpptulemusena on halb turvalisuse kasutatavus - kasutajad on potentsiaalsetele lapsendajatele tõenäoliselt veel üks negatiivne stiimul. Võrreldes TLS-iga, kus kehtetute sertifikaatide korral saate otse brauseris hoiatusi ja vigu, pole DNSSEC-ile visuaalset viidet (saate kontrollida, kas veebisait on allkirjastatud või kas teie lahendaja kinnitab DNSSEC-i saidil https: //internet.nl/).
Kogu loole veel ühe pöörde andmiseks soovivad mõned osapooled mõnikord DNSSEC-i puudumist. Näiteks DNS-i mürgitamine avab ukse domeeni teisena esinemiseks, mis võib anda teile ka domeeni valideerimise (DV) sertifikaadi [3], mis võimaldab praktiliselt võltsida seaduslikku üksust isegi kehtiva sertifikaadiga (aadressiribal roheline tabalukk). Teine näide on tr
TLD, mis ei toeta DNSSEC-i; nüüd kombineerige see sellega, kuidas Türgi valitsus kord kuritarvitas DNS-i tsensuuri jaoks, et saaksite teha oma järeldused.
[...] ja et saate käia DNSSEC-i kirjetes ja leiate kõik oma domeenis olevad kirjed.
NSEC3 puhul pole see enam nii.
Värskenda:
unustasin mainida RFC 3833, mis loetleb lisaks DNS-i turvaohtudele ka DNSSECi nõrkusi:
- DNSSEC-i on keeruline rakendada.
- DNSSEC suurendab oluliselt DNS-i vastuspaketid.
- DNSSEC-i vastuste valideerimine suurendab lahendaja töökoormust.
- Sarnaselt DNS-ile on ka DNSSEC-i usalduse mudel peaaegu täielikult hierarhiline.
- Võtmete liigutamine root on tõesti raske.
- DNSSEC loob nõude sünkroniseerimiseks vaba ajaga.
- Metsamärkide võimalik olemasolu tsoonis muudab autentsuse tõkestamise mehhanismi märkimisväärselt keerulisemaks.
[1] Chung, T., Levin, D., Van Rijswijk-Deij, R., Maggs, BM, Wilson, C., Choffnes, D., & Mislove, A. ( 2017). Registripidajate rolli mõistmine DNSSEC-i juurutamisel. ACM SIGCOMM Interneti-mõõtmise konverentsi, IMC osa F1319 (juuli), 369–383. https://doi.org/10.1145/3131365.3131373
[2] Chung, T., Van Rijswijk-Deij, R., Chandrasekaran, B., Choffnes, D. , Levin, D., Maggs, BM, Mislove, A., & Wilson, C. (2017). DNSSEC-i ökosüsteemi piki- ja otsvaade. USENIXi 26. turvalisuse sümpoosioni toimetised, 1307–1322.
[3] Schwittmann, L., Wander, M., & Weis, T. (2019). Domeeni teisena esinemine on teostatav: CA domeeni valideerimise haavatavuste uuring. Toimetised - 4. IEEE Euroopa turvalisuse ja privaatsuse sümpoosion, EURO S ja P 2019, 544–559. https://doi.org/10.1109/EuroSP.2019.00046