Odpověď na názor

Ad „Co ze ma byt za problem s distribuci?“

Není v tom problém. DNSSEC funguje a je svým způsobem užitečné. Jen se snažím nastavit zrcadlo těm, kteří na jedné straně neustále napadají PKI a na druhé straně vyzdvihují DNSSEC jako nějakou spásu a zázračné řešení všeho.

Přitom oboje funguje v principu stejně. Viz ta zkratka v předchozím komentáři. Nejdřív musíš bezpečnou cestou distribuovat certifikáty autorit k uživatelům, a pak je možné šifrovat a podepisovat. V případě DNSSEC je těch autorit méně a mají monopolní postavení. V případě PKI funguje mezi autoritami konkurence a když jedna selže a stane se nedůvěryhodnou, tak můžeš přejít k jiné, aniž bys ztratil svoje internetové jméno, zneplatnil všechna URL a musel jsi překonfigurovat všechna spojení. Další rozdíl je v tom, že DNSSEC řeší jen malý dílek skládačky - integritu odpovědí DNS - už ale neřeší důvěrnost dotazů a už vůbec ne integritu a důvěrnost následně navázané komunikace. Pokud útočník ovládá síť mezi klientem a serverem, tak DNSSEC zabrání jen tomu, aby se doménové jméno serveru přeložilo na špatnou IP adresu, ale když vynecháme SSL, tak útočník provede přesměrování na úrovni IP místo na úrovni DNS a útok se mu povede. Kdežto když vynecháme DNSSEC a zachováme SSL, tak útočník sice může podvrhnout IP adresu v odpovědi z DNS, ale útok je vzápětí odhalen při pokusu o navázání SSL spojení.

Pokud si někdo myslí, že monopoly jsou dobré řešení, tak stačí ze seznamů důvěryhodných autorit vyházet vše a nechat tam jen pro každou TLD jednu autoritu, která bude provozovaná příslušným správcem dané domény. Bez DNSSEC se dá obejít, bez SSL ne.

(pro rýpaly: ano, jsou i případy, kdy nás zajímá jen odpověď z DNS a žádné další spojení už nenavazujeme - tam se podepsaná odpověď samozřejmě hodí; místo SSL/TLS můžeme použít jiný obdobný protokol, pokud ho máme)

23. 10. 2025, 14:45 editováno autorem komentáře