MarkMonitor - mere end man tror?

Nogen der har hørt mere om, hvad der stikker bag?
http://www.pastie.org/3867284

Hvis bare halvdelen af det her passer, så er det da ganske fantastisk skummelt, og fortjener lidt research + en nyhed her på newz!

Det er ikke sandt at MarkMonitor har opbygget den position indenfor et enkelt år. Google har i hvert fald brugt MarkMonitor i betydeligt flere år end det.

Bloggen har ret i nogle af punkterne. MarkMonitor er dog ikke roden til problemet, det er allerhøjst et symptom.

Systemet som bruges til at afgøre hvem der har retten til et domænenavn er måske ikke optimalt. Men jeg kan ikke påstå at jeg har løsningen som fuldstændigt undgår at introducere nye problemer.

MarkMonitor tilbyder en service som hjælper virksomheder med at forhindre at andre misbruger virksomhedens varemærker f.eks. ved registrering af domæner. Og de leverer nok en værdifuld service siden så store virksomheder vælger at gøre brug af den.

Hvis virksomhederne vitterligt løber en risiko med de domæner de allerede har registreret ved at vælge MarkMonitor, så er det et symptom på et problem i måden ejerskab af domænenavne afgøres på.

Det ville nok være en god idé med mere separation mellem hvem der afgør ejerskab af domæner, og hvem der hoster autoritative DNS servere for dem.

Hvad angår SSL er modellen med tillid til samtlige CA dybt defekt. Der er blevet foreslået mange løsninger. Nogle er bedre, andre er defekte på en anden måde.

DNSSEC med certifikater i DNS kan overflødiggøre CAerne. Men udrulning af DNSSEC har lange udsigter. Mit gæt er at der først sker noget når de personer som tager sig af transitionen fra IPv4 til IPv6 er færdige med den opgave og skal have noget andet at tage sig til.

Nogle argumenterer for at DNSSEC ikke hjælper da de samme firmaer som fungerer som CAer også er involveret i registrering og hosting af domæner og dermed stadigvæk kan fuske med det.

Der er to fejl ved det modargument imod DNSSEC. For det første er det forkert at påstå at de stadigvæk kan fuske lige så meget med certifikater i DNSSEC. CA certifikaterne har intet scope. Stoler browseren på en CA kan denne CA udstede certifikater for vilkårlige domæner. Med DNSSEC vil deres rolle være begrænset til de domæner i hierarkiet de er involveret med. Altså reducerer man trusselen fra at være samtlige CAer til at være de få der er involveret med det domæne man er ved at tilgå.

Den anden fejl ved modargumentet imod DNSSEC er at det også er disse instanser som afgør, hvem domænerne tilhører. Hvis en instans afgør hvem et domæne tilhører er det naturligt at de også kan sætte en signatur på dette. Dermed er vi tilbage ved problemet jeg nævnte ovenfor.

Mit bud på en forbedring af situationen omkring SSL er at chaine certifikater for et domæne sammen. Når der sættes et nyt certifikat på et domæne skal det ikke blot underskrives gennem CA eller DNSSEC, det skal også underskrives af det gamle certifikat for domænet.

Browseren kan så cache det sidst sete certifikat for et domæne og ved hver forbindelse undersøge om der er en passende kæde af certifikater fra det cachede til det nuværende.

På den måde kan browseren give en advarsel om at domænet enten har fået ny ejer eller man er udsat for et mitm-angreb, og opfordre til at man kontakter ejeren af domænet ad anden vej.

Desuden burde links mellem domæner have tilføjet en attribut der angiver det forventede certifikat for domænet som linkes til. På den måde vil flows som går gennem flere forskellige SSL domæner være sikre så længe et af certifikaterne er korrekt.