web-dev-qa-db-ja.com

DNSSecをIPSec対応のIPv6と併用すると、何かメリットがありますか?

RFCがDNSのIPSecのみの実装をサポートしているかどうかはわかりませんが、サポートしている場合、それはDNSSecにとってどのような意味がありますか?

DNSSecはIPv4のみのテクノロジですか?

9

DNSSECはIPSecとは異なるものを提供し、どちらかまたは両方がニーズを満たす場合があります。 IPSecは、パケットを暗号化して署名し、信頼できるPKI(公開キー基盤)を持っている場合、信頼できるものからのものであることを証明します。しかし、その「IF」は非常に高い注文です。特に、最近信頼されていない外国政府によって管理されるルート証明書の最も一般的な「信頼された」デフォルト証明書ストアに最近存在していることを考えると、.

独自の証明書とネットワーク、および独自のDNSサーバーのみを使用してプライベートVPNが必要な場合は、IPSecが必要な機能を提供する場合があります。ただし、最初にパケットを送信する場所をパブリックネットワークから知りたい場合、つまり、ドメイン名からIPアドレスへの安全なマッピングを介して、それがDNSSECの目的です。

また、それほど遠くない将来(私たちは願っています)、インターネットエンジニアリングタスクフォースのほぼ形成されたKeys In DNS(kidns)ワーキンググループに参加することにも注意してください。 「認証局」の現在のモラス: http://www.spinics.net/lists/ietf-ann/msg57258.html

更新:kidnsワーキンググループの提案は、DANEという名前で採用されました: DNSベースの名前付きエンティティの認証RFC6698 と書きましたが、これは一部のツールやライブラリ、ブラウザ拡張機能で実装されましたが、主流のブラウザ機能にはなりませんでした。

証明書の固定(秒)HTTP Strict Transport Security によって潜在的に支援される代替技術は、根本的な問題を解決しました。

6
nealmcb

IPv6のDNSセクション ウィキペディアのページには、偽のDNS応答に対する防御についての情報がないため、DNSSecが依然として必要であるように見えます。

1
Zian Choy