一千萬個為什麽

搜索

用戶如何知道他們的會話是否受DNSSec保護?


具有DNSSec驗證的連接具有明確的安全價值,但是我還沒有看到軟件指示連接是否安全。

最終,我希望我的用戶能夠認識到DNSSec是一種更安全的解決方案,在處理我們的業務交易時更喜歡它或者需要它。它會給我們帶來競爭優勢。

我有什麽選擇讓用戶看到他們更安全   DNSSEC?他們不必理解它,如果他們更好   不必通過菜單來控制以確定這一點。瀏覽器插件或LoB應用程序解決方案等建議非常受歡迎。

令人遺憾的是,EV證書是以綠色突出顯示URL的證書。我認為DNSSec比EV更基本的安全性改進,基本上是安全劇場 。

最佳答案

我堅信不應該向用戶表明DNSSEC的純粹用法。 DNSSEC只是確保第三方(第四方?)方不會篡改DNS查詢。 DNSSEC does not ensure that the connection is really established with the returned IP-address nor that no attacker is listening in on the data. So pure DNSSEC is way too complicated to understand for an average user compared to the small gain in security. 有趣的方法是通過DNSEC 發布公共SSL密鑰,而不是使用傳統的SSL證書頒發機構。這解決了傳統方法的主要問題之一:目前,任何(傳遞的)可信SSL證書頒發機構都可以為任何域簽署證書。使用基於DNSSEC的方法,只有負責頂級域的權限才能簽名。這大大減少了攻擊面。 (並在域名當局施加了很大的權力)

“使用DNSSEC發布公鑰的SSL”的可視指示應類似於使用EV證書的SSL。我懷疑我們看到傳統方法很快就會消失,因為涉及到很多錢。

轉載註明原文: 用戶如何知道他們的會話是否受DNSSec保護?

猜你喜歡