Vlákno názorů k článku
Finská doména nejvyšší úrovně deaktivovala DNSSEC od Jakub - Takže tím teď rozbili všem DANE?

Takže tím teď rozbili všem DANE?

Možná slovo rozbili není úplně přesné. Například pošta chráněná pomocí DANE se nepřestane doručovat, jen přestane být chráněna proti podvržení DNS nebo útoku typu odstranění STARTTLS. Kdyby se bylo používalo DANE i pro ověřování důvěryhodnosti webových certifikátů, pak by se skutečně dalo mluvit o rozbití, protože bez funkčního DNSSEC by se certifikáty staly nedůvěryhodné.

Rozbijí se také třeba SSH spojení s ověřením klíče serveru pomocí SSHFP záznamu. Pokud jde o neinteraktivní použítí SSH, třeba v rámci CI/CD, spojení skončí s chybou Host verification failed, při interaktivním použití se klient zeptá, zda má klíči protistrany důvěřovat.

Ano, rozbili DANE na všechny jména končící .fi. Viz třeba výstup programu delv +vtrace traficom.fi nebo unbound-host -rvD traficom.fi. Prostě jména se překládají a mají i signatury, ale nejsou chráněná proti modifikaci. Chovají se jako nepodepsané i přesto, že podpis mají.

Teoreticky si to můžete dočasně vylepšit ručním přidáním trust anchor záznamu pro fi. doménu, ale asi by vám to brzy přestalo fungovat. Pravděpodobně brzy budou změny klíčů i podpisů.