dns서버를 통한 인증하면 뚝딱인던데


이렇게 본인인증이 허술하면 안되는거 아니냐???


dns서버에서 레코르를 추가하는 요청은 https로 이루어지는거 같고, 아이디 비밀번호를 요구하는거 같더라고.


즉 아이디 비밀번호를 알지 못하는 이상 dns서버에 레코드를 아무나 함부로 추가하진 못해.

dns 레코드 추가로 본인인증하는게 먹힌다는 뜻이지.



근데 문제는,


나와 dns서버간의 통신이 아니라,


dns서버와 aws 간의 통신을 공격하는 경우임.


aws가 dns서버한테 해당 레코드를 요청하면 dns서버는 없다고 얘기하겠지만, 그걸 중간에 가로채서 있다고 하는거임.


dns서버에 쿼리 보내는건 안전하지 않더라고.


dnssec이란 서명기술이 있긴 한데, aws는 dnssec이 설정되지 않은 dns레코드도 그냥 본인인증시켜줌.



그러니까 그냥 내가 dns서버랑 aws통신사이에 껴들어가서

해당 레코드 추가했다고 거짓말하면


본인인증이성공되고


나는 인증서를 받을 수 있는거임.



카카오톡의 인증서를.



이게 말이 되냐?