Hlavní navigace

Názor k článku HTTPS by mělo být všude od Petr Krčmář - Dozví se z kořenové zóny. DNSSEC není možné...

  • Článek je starý, nové názory již nelze přidávat.
  • 24. 9. 2015 10:13

    Petr Krčmář

    Dozví se z kořenové zóny. DNSSEC není možné popřít, protože je podepsaná kořenová zóna. O tom rekurzor ví a bude ty podpisy vyžadovat. Jakákoliv další informace už musí být podepsaná, včetně informace o tom, že následující zóna podepsaná není. I to musí přijít důvěryhodnou cestou.

    V opačném případě by fungoval downgrade attack a nedávalo by to smysl. V kořeni je napsáno, že o TLD .cz. se starají servery CZ.NIC a jejich klíč je X – tato celá informace je podepsaná. Takto to pokračuje dál až k výsledku nebo k informaci, že dále už se nepodepisuje – ale toto musí být taky zasláno v podepsané zprávě. Tedy není to možné podvrhnout ani zapřít, v obou případech bude výsledek nevalidní a podvržená informace se uživateli nepřeloží.