Hlavní navigace

Názor k článku Doména .CZ spouští jako první automatickou správu DNSSEC klíčů od Filip Jirsák - Já jsem o žádném podvodném přesměrování nepsal. Zkuste...

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 6. 2017 17:53

    Filip Jirsák

    Já jsem o žádném podvodném přesměrování nepsal. Zkuste si to vyhledat v diskusi, první příspěvek, kde se slovní spojení „podvodné přesměrování“ vyskytuje, je váš komentář z 15:29.

    Nepsal jsem ani nic o kontrole komunikace. Já jsem psal o podvržení DNS odpovědi. A to je přesně to, k čemu má DNSSEC sloužit – když na klientovi (tedy ideálně až v koncovém zařízení) ověříte DNSSEC podpis, máte jistotu, že jste dostal správnou odpověď (akorát teď není úplně jasné, co je „správná odpověď“).

    Klasický případ, který se uvádí, je, aby vám někdo na WiFi síti nemohl podvrhnout odpověď třeba na dotaz na google.com a nepřesměroval vás tím na svůj server. A také se často uvádí, že validovat by měl buď resolver v koncové síti, nebo ideálně až resolver v koncovém zařízení. Tedy že se nemá validace nechávat na resolveru ISP, protože pak může útočník odpověď modifikovat ještě mezi resolverem u ISP a vaším zařízením. Pokud by DNSSEC zajišťovalo jenom to, že všechny servery budou vracet stejnou odpověď, tyhle příklady by byly nesmyslné.

    DNSSEC neověřuje u nadřazených serverů, že DNS záznam nebyl podvržen. U nadřazených serverů se zkontroluje akorát to, že otisk klíče, kterým byla podepsána DNS odpověď, je u dané domény uveden jako platný klíč. Nebo-li že ten, kdo odpověď podepsal, má právo za danou doménu odpovědi podepisovat. A teď řešíme akorát to, zda právo podepisovat za danou doménu má mít jenom oprávněný vlastník dané domény, nebo pokud doména není podepsaná, zda si to právo může přisvojit i útočník (aniž by majitel domény udělal cokoli špatně).