Menü
Avatar von AberNajaOkayAlsoDoch
  • AberNajaOkayAlsoDoch

8 Beiträge seit 30.09.2015

"wenn die DNS-Clients nicht selbst validieren"

Gibt es denn inzwischen irgendeinen verbreiteten Client, der DNSSec validiert? Das war oder ist aus meiner Sicht ja gerade ein Hauptproblem von DNSSec - wenn Clients nicht selbst validieren und einen Fehlerdialog mit dem User führen, wer soll das sonst sinnvoll machen? Ein vorgelagerter Resolver, der validiert, kann keine Dialoge über das Ergebnis der Validierung mit dem User führen. Und der User sieht am Ende keinen Unterschied zwischen einer unsignierten Antwort und einer richtigsignierten. Falsch signierte Antworten kann der Resolver unterdrücken, aber welcher Angreifer gibt schon falsch signierte Antworten, wenn unsignierte genauso gut funktionieren und durchgelassen werden, ohne vom User bemerkt zu werden?

So etwa stelle ich mir das vor, z.B. im Browser: "Bei der Überprüfung der DNS-Antwort ist ein Fehler aufgetreten. Die DNS-Antwort auf die Anfrage www.heise.de enthält eine fehlerhafte Signatur. Trotzdem fortfahren? Dies kann ein Sicherheitsrisiko bedeuten...".

Oder: "Vorsicht. Der DNS-Eintrag www.spiegel.de ist nicht DNSSEC signiert. Dies kann ein Sicherheitsrisiko sein. Wollen sie trotzdem fortfahren?".

Gibts sowas endlich wirklich, und wenn ja, wo? In Windows, Firefox, Android, iOS, Mac OS nehme ich keine Client-Validierung wahr. Übersehe ich etwas?

Bewerten
- +
Anzeige