Hlavní navigace

Názor k článku Mají i dnes smysl otevřené validující resolvery? od Ondřej Surý - Jen drobnost - pozor na replay útok -...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 5. 2017 12:52

    Ondřej Surý

    Jen drobnost - pozor na replay útok - důležitá je platnost podpisu DNS zprávy, a nikoli její TTL. Resp. aby to nebylo tak jednoduché - důležitá je platnost podpisu aktuálního DNSKEY klíče, kterým je zóna podepsaná.

    Po kompromitaci aktuálního klíče bude možné podvrhávat (in-path) dotazy po dobu délky podpisu tohoto klíče, i když dojde k jeho výměně v zóně (nadřazené zóně).

    Ale pořád se bavíme o dnech a nikoli o letech, a je mnohem větší šance, že klíče utečou s bývalým zaměstancem a nikoli kvůli masivnímu průlomu v QC.