Odpověď na názor
Odpovídáte na názor k článku Centralizovaná automatizace certifikátů pomocí nástroje uacme. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
To skutečně nemusíte, ale pořád je tu problém bezpečného předání veřejného klíče, který je nutný pro ochranu před útokem z pozice prostředníka (MitM). Takže pro bezpečné použití SSH musíte mít jinou cestou bezpečně zjištěné veřejné klíče serveru. Což třeba já striktně dělám, ale podle mých zkušeností to velká část adminů ignoruje a prostě přijme jakýkoliv klíč. Není to naprosto myslitelné u běžných uživatelů při přístupu třeba k bankovnictví.
S DANE nemáte pravdu, ten je naopak postaven na DNSSEC a striktně vyžaduje jeho validaci. Protože informace o veřejném klíči má opět smysl jen v případě, že ji dostanete z ověřeného zdroje. Viz RFC 6698: „The security of the DNS RRtype described in this document relies on the security of DNSSEC to verify that the TLSA record has not been altered.“
