web-dev-qa-db-ja.com

DNSSecに相当するHSTSはありますか?

HSTSがWebブラウザに常にHTTPSを使用するように命令するのと同様のDNSSec-alwaysポリシーを設定する方法はありますか?

これにより、DNSSecストリップ攻撃が緩和されます(SSLStripと同様)。

セキュリティが必須であるIPSecにこれが当てはまるかどうかもわかりませんが、前提条件としてDNSSecが必要かどうかはわかりません

dnsthreat-mitigationdnssecsslstriphsts
7
goodguys_activate

いいえ、DNSSECに相当する直接のHSTSはありません。残念ながら、ほとんどのクライアントはDNSSECをサポートしていないため、サーバーのRRSIGレコードを気にすることはできませんでした。ただし、DNSSECをサポートするクライアントは、常にサーバーのレコードを検証します(レジストラでのドメイン設定に有効なDSレコードがあると仮定します)。したがって、 DNSSECクライアントはドメインを検証しないため、DNSSEC。

2
ConnorJC

次のソリューションは、適切にスケーリングされない可能性がありますが、

  1. 保護するホストにBINDまたは同様のDNSリゾルバーサーバーをセットアップします。
  2. DNSSECを検証するように構成します(最大10分かかります)
  3. DNSサーバーのみが上流のDNSサーバーにクエリを送信できるようにソフトウェアファイアウォールを構成する
  4. オプションで、DNSSECステータスを表示できるブラウザアドオンを使用する

次のアーキテクチャをエンタープライズソリューションに変更できます。このソリューションでは、ネットワーク上にDNSサーバーをセットアップし、エッジファイアウォールで、DNSサーバーではないIPアドレスからのDNS要求をブロックします。また、ネットワークが信頼できると仮定します。

0
user2716262