Come posso essere sicuro di ottenere una risposta autentica di un indirizzo IP richiesto?

Normalmente si esegue un accesso al proprio ISP utilizzando le credenziali utente fornite. Ti viene quindi assegnato un indirizzo IP e ottieni l'accesso ai loro server dei nomi interni, in modo da poter chiedere un determinato nome di dominio e ottenere un indirizzo IP in risposta.

Ma come posso essere sicuro di recuperare l'attuale sito che sto chiedendo? Come posso essere sicuro che il mio ISP non stia fingendo IP o che non mi stia reindirizzando verso "server interni falsi" (con o senza un indirizzo IP identico)? Ad esempio: se chiedo example.com, ottengo il suo IP e mi mostrano un semplice clone di quel sito ..

Come si assicura che un IP esista una sola volta? È possibile cambiare l'IP di localhost in qualcos'altro, quindi cosa garantisce che ciò non accada con gli indirizzi web?

Naturalmente: se l'ISP falsificasse la destinazione, anche gli altri utenti ne risentirebbero se richiedessero lo stesso risultato. Ma anche in questo caso: non sarebbe possibile filtrare gli utenti in base alle loro credenziali ISP e dirottarli?

Probabilmente c'è una sorta di contropiede nel mio modo di intendere. Ma non capisco quello che mi manca.

Sì, il DNS non è sicuro. Se vuoi davvero sapere che stai parlando con il server che desideri, devi autenticare il server. Quindi è quello che facciamo. Non crediamo che il DNS sia sicuro e implementiamo la sicurezza di cui abbiamo bisogno altrove, come TLS (Transport-Layer Security).

TLS (il moderno livello di sicurezza di HTTPS) lo fa obbligando il server a inviare al client un certificato che indica il nome del server e la chiave pubblica. Questo certificato è crittografato in modo crittografico da una terza parte attendibile denominata Autorità di certificazione (CA). La firma della CA garantisce che il certificato mostra la chiave pubblica corretta per il server indicato.

Per dimostrare che il server è il legittimo proprietario del certificato (e non un impostore che ha rubato un certificato valido), l'handshake TLS lo dimostra che conosce la chiave privata segreta che forma un set abbinato con la chiave pubblica nel certificato. Questo viene fatto senza rivelare la chiave privata stessa, ovviamente.

C'è una proposta per proteggere il DNS chiamato DNSsec, ma è stato in giro per anni e sembra non andare mai da nessuna parte. Potrebbe non essere mai ampiamente diffuso. Esiste ora una proposta per "DNS su HTTP" (DoH, pronunciato "D'oh!") Che potrebbe proteggere il DNS eseguendolo su HTTPS.

Molte domande lì. Proverò ad affrontare un paio.

Ma come posso essere sicuro di recuperare l'attuale sito che sto chiedendo? Come posso essere sicuro che il mio ISP non stia fingendo IP o che non mi stia reindirizzando verso "server interni falsi" (con o senza un indirizzo IP identico)? Ad esempio: se chiedo example.com, ottengo il suo IP e mi mostrano un semplice clone di quel sito ..

Quindi, questo si chiama attacco man-in-the-middle ( https://en.wikipedia.org/wiki/Man-in-the-middle_attack ). La cattiva notizia è che sono abbastanza comuni (almeno su hotel e altri luoghi con wifi aperto, anche se anche un po 'difficile da dimostrare, - https://www.theregister.co.uk/2016/06/01/teamviewer_mass_breach_report/ ). Ma un modo per proteggersi è di non utilizzare il server DNS dell'hotel (o nel tuo caso il tuo ISP). Ce ne sono alcuni buoni là fuori: https://www.howtogeek.com/122845/htg-explains-what-is-dns/

Sarei sorpreso se un ISP affidabile lo fa (e viene catturato), ma è una buona idea usare il proprio DNS (di nuovo fidarsi di qualcuno) e / o una VPN ogni volta che non si è sulla rete domestica.