Открыть список
Как стать автором
Обновить

Комментарии 14

Да, ожидается, что при несоответствии САА-записи центр сертификации прекращает выдачу сертификата, но ведь центр сертификации может переключиться в ручной режим и принять решение о выпуске


То есть «может выдать, а может не выдать»? В чём тогда смысл?
Генератор CAA-записей, но не все провайдеры их поддерживают. Кто-нибудь в курсе почему не сделали валидацию через обычные TXT?
Простите мое невежество, но что такое «валидация через обычные TXT»?
Писать разрешенные CA в TXT-запись (как сделано для SPF), а не созавать новый тип ради которого хостерам придётся дорабатывать панели.

Не только панели :) еще и клиенты с серверами DNS

В RHEL7 бэкпортировали поддержку CAA для BIND 9.9.4, так что на линуксе проблем быть не должно.

Наверное, имеется в виду что-то типа:
_caa IN TXT issue "letsencrypt.org".
Т.е. без введения нового типа записей (CAA).

Нет, если верить генератору из комментария выше, это именно новый тип.
Если верить этому генератору, то список dns серверов довольно обширен, а панели, я думаю не так много работы по внедрению нового типа записей.
Странно, что для клиентов (браузеров) не указан очевидный путь для дополнительной проверки надёжности — сверять соответствие CAA-записи и издателя сертификата.
Ок. Будем ещё подменять DNS.
DNSSEC пока не научились подделывать. Ждем волны взломов корневых DNS.
DNSSEC весьма опциональный. И вряд ли это изменится. Так что можно рассчитывать, что в целевом браузере он будет отключён.
DNSSEC обладает безопасностью неуловимого Джо. С практической точки зрения мы просто делаем DNS downgrade attack и все широкоиспользуемые клиенты соглашаются с тем, что «так и надо».
нужен аналог HSTS для DNS!
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.