Исходное сообщение
"В протоколе HTTP/2.0 предложено перейти к обязательному испо..." Отправлено Lockal, 14-Ноя-13 15:44
Идея DNSSEC провальна чуть более, чем полностью. DNSSEC базируется на идее, что регистраторы TLD или их реселлеры не будут переподписывать DS-ключ. Если переподпись случается с удостоверяющим центром (УЦ), то браузеры могут дружно выкинуть корневой сертификат и внезапно УЦ банкрот (DigiNotar). И хотя браузеры никому ни в чём не обязаны, выявление поддельного сертификата всегда приводит к серъёзным разборкам между УЦ (завалить конкурента в крупном бизнесе -- всегда святое дело, особенно если это возможно сделать честно). А что с доменами? Вот зарегает юзернейм домен в R01 или руцентре (это два единственных регистратора, имеющие право продвигать в зону ru. записи DS), потом последует "предложение, от которого сложно отказаться" и регистраторы с первого звонка начнут подменять DS-записи. Кто будет в этом разбираться? IANA? ICANN? А если домен находится у реселлера, то и подавно всем будет пофиг. Реселлер просто скажет, что клиент сам зашёл в панель и поменял DS. А с подделанной DS можно запросто изготовить DANE-подпись для поддельного самоподписанного сертификата, при этом браузер не покажет никаких предупреждений. Кроме того, атака на пользователей интернета может быть осуществлена и без привлечения регистраторов. DNSSEC без DANE бессмысленен без DNSCrypt (или VPN до доверенного сервера в другой стране). Провайдер в состоянии организовать перехват DNS-запросов и либо отвечать самому, либо просто срезать RRSIG/DNSKEY у всех ответов.