通过用户提供的IP的前向确认反向DNS查找获得SSL证书验证主机名的风险？

Question

在阅读了其他问题之后，我在这里的理解是，攻击者需要控制名称服务器或者利用名称服务器伪造响应的能力。会否以其他方式被滥用？

对于上下文，我们有一个应用程序连接到LDAP服务器(可选地通过SSL )来检索有关域的信息。客户使用主机名或IP地址、端口、凭据等配置连接。这些服务器大多位于内部网络上，但有些是公共的。

当前的证书验证代码没有正确地验证服务器证书中的主机名，我们现在正在修复这个问题。问题是许多客户已经将主机设置为IP地址。为了避免在升级时破坏它们的设置，我们考虑使用FCrDNS来获取主机名，如果IP地址不在证书的主题alt名称中。

Answer 1

使用域名的TLS可以抵抗DNS欺骗，因为用户的期望(域名)是直接根据证书检查的，而不涉及任何其他方面。虽然DNS欺骗可能会导致客户端连接到错误的服务器，但在传输任何应用程序数据之前，证书检查将失败(假设进行严格检查，并且没有泄漏证书)。

相反，您的方法依赖于DNS的安全性。虽然前向确认的DNS查找肯定比简单的反向查找更安全，但它仍然容易受到DNS欺骗攻击，除非DNS本身受到此类攻击的保护(使用DNSSec)。

因此，您的方法不如对用户提供的域名进行检查那么安全。但是，它肯定比不检查证书主题要安全得多，就像过去一样。如果这个“更安全”可以被认为是“足够安全的”，那么您必须根据环境中的特定风险来决定自己。