A Google vajon miért nem alkalmazza a Gmail-nél a DANE-t (tegyük hozzá, sajnos még sok más e-mail szolgáltató sem)?
Holott ingyenes lenne: „Just use DANE to secure your TLS connections for free.” ( [link] )
Elvileg jól hangzik, gyakorlatilag ha ennyire egyszerű lenne, már rég bevezették volna.
A DANE a DNSSEC-re alapoz, amit DNS szolgáltatók szintjén kell implementálni, és ez még mindig folyamatban van. Megbízható DNSSEC nélkül nincs megbízható DANE. Ami azt illeti, DANE használatával a DNS szolgáltatók válnak ugyanúgy képessé hamis tanúsítványok kiadására, mint a CA-k jelenleg. Egy kompromittált DNS szolgáltató mondjuk jellemzően kevesebb felhasználót ér el, ezért kevésbé veszélyes, mint egy kompromittált CA, viszont (mivel még feltehetőleg nem veszik annyira komolyan a biztonság kérdését) nem is feltétlenül állnak készen a CA-k szerepének átvételére. Szóval eléggé bizonytalan lábakon áll ez az egész DNSSEC/DANE ahhoz, hogy ne siessék el a bevezetését.
Köszönöm, nem is gondoltam volna, hogy ilyen szakmai választ fogok kapni itt. :)
Szóval azok az ingyenes e-mail szolgáltatók, akik már alkalmazzák a DANE-t (érdekes módon majdnem mindegyik
németországi, vagy legalábbis német tulajdonban lévő), lényegében nem nyújtanak nagyobb biztonságot a felhasználóiknak és nem védettek jobban ma még az ellenük irányuló hackertámadásokkal szemben?
Inkább azt mondanám, hogy a DANE is sebezhető. Bár a CA-kon keresztül történő támadást már demonstrálták, a DNSSEC szolgáltatókon keresztül történő támadást meg tudtommal még nem.
A kisebb e-mail szolgáltatók, akik nem engedhetik meg maguknak a CA regisztrációt, mindenképpen előrébb vannak DANE használatával, mint a jó öreg kódolatlan HTTP-vel. A nagyobbaknak, főleg akik saját CA-t üzemeltetnek (pl. Gmail) már valszeg kevésbé előnyös, akár hibaforrás is lehet.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!