Gå til innhold

Bytte av global DNS-nøkkel utsatt på ubestemt tid

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
asshole

asshole

Skrevet
Skrevet (endret)

Med https forsvinner dette problemet så kunne vel heller fokusert på obligatorisk https

Edit: hvis noen kan forfalske dns så kan de mest sannsynligvis sniffe nettverks trafikk,så de vil uansett kunne lese eposten din uten å forfalske dns. Løsningen er ikke kryptert dns men kryptert http og epost. men fins vel ikke noe standard for kryptert epost, de er vel for travelt opptatt med å lage unyttige ting som dnssec...

Endret av asshole
Lenke til kommentar
henrikwl

henrikwl

Skrevet
Skrevet (endret)

Med https forsvinner dette problemet så kunne vel heller fokusert på obligatorisk https

Edit: hvis noen kan forfalske dns så kan de mest sannsynligvis sniffe nettverks trafikk,så de vil uansett kunne lese eposten din uten å forfalske dns. Løsningen er ikke kryptert dns men kryptert http og epost. men fins vel ikke noe standard for kryptert epost, de er vel for travelt opptatt med å lage unyttige ting som dnssec...

 

Du snakker om to forskjellige problemer, men har bare løsningen på ett av dem.

 

Beskyttelse fra https forutsetter at du kan stole på at https://www.google.com faktisk peker på google sine servere. Hvis noen hijacker DNS-forespørslene dine, så kan https://www.google.com plutselig peke på deres egne servere, og det er problemet DNSSEC er ment å løse.

 

 

Bruk en DNS-server som blir driftet av noen som vet hva de holder på med?

F.eks.:

8.8.8.8, 8.8.4.4, 208.67.222.123, 208.67.220.123

Ser at OpenDNS har blitt kjøpt opp av Cisco.

 

 

Hva har dette med denne saken å gjøre?

Endret av henrikwl
Lenke til kommentar
Simon W. Hall

Simon W. Hall

Skrevet
Skrevet

Hvor mye jobb er det for leverandørene å fikse ting? Har de fått beskjed om at ting skal endres? Nå vet jeg ikke hvor mye info dere sitter på, men jeg synes artikkelen var litt tynn.

 

Hvis du er ISP så følger du nok med på hva ICANN holder på med.

https://www.icann.org/news/blog/changing-the-keys-to-the-domain-name-system-dns-root-zone

 

Det å bytte en nøkkel, etter at du har fått den, tar omtrent tre minutter pr. server (Kvalifisert gjetting).

En ISP har vel typisk et sted mellom 3-5 DNS-servere (Ukvalifisert gjetting).

Lenke til kommentar
Simon W. Hall

Simon W. Hall

Skrevet
Skrevet

 

 

Bruk en DNS-server som blir driftet av noen som vet hva de holder på med?

F.eks.:

8.8.8.8, 8.8.4.4, 208.67.222.123, 208.67.220.123

Ser at OpenDNS har blitt kjøpt opp av Cisco.

 

 

Hva har dette med denne saken å gjøre?

 

Problemet her er vel at ISP'er og utstyrsleverandører er for trege med å "rulle ut" den nye nøkkelen?

 

En bedre artikkel her: https://motherboard.vice.com/en_us/article/aek48k/the-encryption-key-that-secures-the-web-is-being-changed-for-the-first-time

Icann her: https://www.icann.org/news/blog/changing-the-keys-to-the-domain-name-system-dns-root-zone

 

Hvis jeg bruker google DNS når nøkkelen blir byttet, så vil ikke dette påvirke meg, selv om min ISP ikke har gjort det.

Lenke til kommentar
henrikwl

henrikwl

Skrevet
Skrevet

Problemet her er vel at ISP'er og utstyrsleverandører er for trege med å "rulle ut" den nye nøkkelen?

En bedre artikkel her: https://motherboard.vice.com/en_us/article/aek48k/the-encryption-key-that-secures-the-web-is-being-changed-for-the-first-time

Icann her: https://www.icann.org/news/blog/changing-the-keys-to-the-domain-name-system-dns-root-zone

 

Hvis jeg bruker google DNS når nøkkelen blir byttet, så vil ikke dette påvirke meg, selv om min ISP ikke har gjort det.

 

 

 

Poenget her er jo at nøkkelen aldri blir byttet hvis ikke ISP-ene får ut fingeren. ICANN kan jo ikke bare kjøre på, bytte ut nøkkelen og si til 60 millioner endebrukere "lol, bytt til Google DNS".

Lenke til kommentar
asshole

asshole

Skrevet
Skrevet

 

Med https forsvinner dette problemet så kunne vel heller fokusert på obligatorisk https

Edit: hvis noen kan forfalske dns så kan de mest sannsynligvis sniffe nettverks trafikk,så de vil uansett kunne lese eposten din uten å forfalske dns. Løsningen er ikke kryptert dns men kryptert http og epost. men fins vel ikke noe standard for kryptert epost, de er vel for travelt opptatt med å lage unyttige ting som dnssec...

 

Du snakker om to forskjellige problemer, men har bare løsningen på ett av dem.

 

Beskyttelse fra https forutsetter at du kan stole på at https://www.google.com faktisk peker på google sine servere. Hvis noen hijacker DNS-forespørslene dine, så kan https://www.google.com plutselig peke på deres egne servere, og det er problemet DNSSEC er ment å løse.

 

 

Bruk en DNS-server som blir driftet av noen som vet hva de holder på med?

F.eks.:

8.8.8.8, 8.8.4.4, 208.67.222.123, 208.67.220.123

Ser at OpenDNS har blitt kjøpt opp av Cisco.

 

 

Hva har dette med denne saken å gjøre?

Hijacke https? Du kan prøve å se hva som skjer... Eksempel: https://wrong.host.badssl.com
  • Liker 1
Lenke til kommentar
henrikwl

henrikwl

Skrevet
Skrevet

Hijacke https? Du kan prøve å se hva som skjer... Eksempel: https://wrong.host.badssl.com

 

 

 

Nei, jeg snakker ikke om å hijacke https. Jeg snakker om å hijacke DNS.

 

Hvis jeg hijacker DNS-trafikken din, sånn at når du spør etter google.com så havner du på min maskin i stedet for google sin, så kan jeg bruke Google sitt sertifikat. Browseren din sjekker at du er på google.com og at sertifikatet gjelder google.com, men i realiteten så er du jo på min maskin (siden jeg har hijacket DNS-trafikken din).

 

DNSSEC er som HTTPS for DNS-trafikk.

Lenke til kommentar
  • 2 uker senere...
mkotsbak

mkotsbak

Skrevet
Skrevet

 

Beskyttelse fra https forutsetter at du kan stole på at https://www.google.com faktisk peker på google sine servere. Hvis noen hijacker DNS-forespørslene dine, så kan https://www.google.com plutselig peke på deres egne servere, og det er problemet DNSSEC er ment å løse.

 

Det kan du, ellers har du fått et falsk SSL-sertifikat som browseren skal advare mot, eller domenet er et annet. DNNSEC er bare ment for der du ikke har SSL.

Lenke til kommentar
henrikwl

henrikwl

Skrevet
Skrevet (endret)

Det kan du, ellers har du fått et falsk SSL-sertifikat som browseren skal advare mot, eller domenet er et annet. DNNSEC er bare ment for der du ikke har SSL.

Edit: ja, du har jo faktisk helt rett. Her har det gått litt fort i svingene.

Endret av henrikwl
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...