publikuj: Opublikuj w wykop.pl Opublikuj we flaker.pl Opublikuj na OSnews.pl Opublikuj w delicious wydrukuj
skomentuj »

TAGI: .gov , dnssec

2009-03-23 14:34:00, dodał Andrzej Bartosiewicz

Domena .GOV zniknęła z Internetu na kilka godzinDomena .GOV zniknęła z Internetu na kilka godzin

 

Sprawdziły się czarne scenariusze, mówiące o tym, że DNSSEC jest jeszcze zbyt niedojrzałą technologią na wdrożenie produkcyjne. O racjonalnym podejściu do DNSSEC w Europie pisałem na blogu: „DNSSEC: Komisja Europejska bardziej rozsądna niż rząd USA” z lutego 2009.  Niestety, rząd amerykański okazał się tak przejęty wdrożeniem nowej technologii z pobudek politycznych i po naciskach grupy zwolenników DNSSEC (polecam mój blog „Al-Kaida DNS: bojownicy DNSSEC” z listopada 2008), że zapomniał o audycie bezpieczeństwa i wdrożył technologię, która zawiera oczywiste braki. 

Wystarczyły trzy miesiące, aby przekonać się, że na DNSSEC jest jeszcze zbyt wcześnie. I na szczęście przekonali się o tym ci, którzy za wszelką cenę, wbrew zdrowemu rozsądkowi, tę technologię promowali.

15 marca 2009 domena .GOV została dopisana do DLV (DNSSEC Lookaside Validation) . Dzięki technologii DLV serwery DNS mogą dokonywać walidacji (sprawdzenia) domen podpisanych (zabezpieczonych w technologii DNSSEC). Amerykanie postanowili jednak użyć algorytmu NSEC3 (NSEC3 RSA SHA1 DNSKEY). 

Jak się okazało, BIND, najpopularniejsze oprogramowanie dla DNS, w wersjach do 9.5 włącznie, niestety nie wspiera jeszcze algorytmu NSEC3 RSA SHA1, co objawiało się użytkownikom korzystającym z DNSSEC niepoprawną walidacją domen w domenie .GOV. Innymi słowy, BIND traktował takie domeny jak fałszywe (podpisane sfałszowanym kluczem), zamiast traktować je jako niepodpisane. 

Zamiast zwiększenia bezpieczeństwa doszło do sytuacji odwrotnej – poprawnie zabezpieczona domena była traktowana jako fałszywa. Remedium na ten problem było usunięcie domeny .GOV z bazy DLV, co automatycznie powoduje zmniejszenie zaufania do DNSSEC jako technologii walidacji autentyczności wpisów w DNS. 

Szczęście w nieszczęściu – mało osób korzysta z DNSSEC i problem dotknął niewielkiej liczby użytkowników Internetu. Problem ten jednak pokazał,  że nie warto czasami wdrażać technologii w celach politycznych i jako eksperymentów na żywym organizmie. Na koniec warto życzyć rządzącym, aby na siłę nie wdrażali technologii, tylko po to aby zyskać uznanie w grupie lobbystów.

Słowniczek:

  • .GOV = domena najwyższego poziomu dla rządu USA
  • DNSSEC = DNS Security Extensions
  • DLV = DNSSEC Lookaside Validation
  • NSEC3 = NextSECure3

 

Strona tego bloga

publikuj: Opublikuj w wykop.pl Opublikuj we flaker.pl Opublikuj na OSnews.pl Opublikuj w delicious wydrukuj
skomentuj »

Warto przeczytać

DNSCrypt: OpenDNS znalazło sposób na zabezpieczenie „ostatniej mili” w ruchu DNS
Filtrowanie DNS zagraża(ło) bezpieczeństwu i stabilności całego Internetu
.COM już obsługuje DNSSEC, do 2020 obsłuży cztery biliardy zapytań dziennie
DNSSEC: bezpieczny DNS i koniec z cache-poisoningiem. Wszystko, co musisz wiedzieć

Komentarze

Odśwież

Uwaga! Możesz zarejestrować się w serwisie i w ten sposób zarezerwować swój nick oraz ominąć konieczność ciągłego odczytywania wyrazów.

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.

Popularne 7 dni 30 dni

Społeczność komentarze forum

Polecane książki

Praca

Czytaj Webhosting

Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.

Zarejestruj domenę

Sprawdź dostępność swojej domeny:

.pl: 0 zł   .com: 19.90 zł
.com.pl: 0 zł   .eu: 19.90 zł