Podstatna cast je "ziskat klic bezpecnou cestou". Na to je nejlepsi pouzit jiny kanal, napr. GSM, snailmail, nebo osobni kontakt (v podstate staci jinym kanalem ziskat jenom fingerprint/hash klice).
"Jak mam sakra vedet, ze muj prohlizec se diva na ten spravny www.nic.cz, kdyz si nemuzu overit DNS zaznam pro www.nic.cz?"
Tahle vejco-slepice (distribuce klicu) slozila i PKI. Pri stahovani klicu via https je mozne overit SSL certificate chain (protoze tenhle root CA cert je built-in token ve vsech beznych browserech), pritom ale opet narazite na jinou vejco-slepici:
-jak mam verit ze instalovany browser nema podvrzene root CA certifikaty?
-jak mam verit, ze dana CA si dostatecne overila vlastnika domeny pri vydavani certifikatu?
Obdobna vejco-slepice je GPG/PGP podpis, ale stejne treba i osobni odber klice (jak vite ze ten clovek co vam dal klic je skutecne od nic.cz?). Ve vysledku vzdy jenom minimalizujete riziko.
BTW: ad. falesne domenove certifikaty & falesne podpisy malware
- falesnych certifikatu je hodne, s ukradenou identitou to neni tezke, neni tezke treba nechat si podepsat malware (viz napr. http://www.pcalsicuro.com/gromozon.pdf), cca 10% podepsaneho software v 2008 je malware (viz http://blogs.technet.com/mmpc/archive/2008/11/06/malware-and-signed-code.aspx - cca 173k signatur malware vs 1.78M signatur non-malware).
- ziskani SSL certifikatu na domenu taky neni tezke, viz https://blog.startcom.org/?p=145
Názor k článku
Konfigurace DNSSEC validujícího resolveru
