Vlákno názorů k článku Certifikáty pro HTTPS zkrátí postupně do roku 2029 svou životnost na 47 dní od Trident - Kdyz na to tak koukam treba jeste nastane...

Kdyz na to tak koukam treba jeste nastane renesance DANE :-)

DANE je pouze pro SMTP

DANE je navrženo jako obecný mechanismus pro TLS. Také jeho DNS záznam se jmenuje TLSA, což je zkratka pro TLS Association. DANE se zatím výrazněji prosadilo jen u předávání pošty, to je pravda. Ale vůbec to neznamená, že je vázané jen na poštu a že se nemůže prosadit i na dalších místech, kde se používá TLS, což je třeba i HTTPS.

Poprosil bych jmenovat jeden browser ktery to umi? ...

V bugzille foxe je na to tema nereseny bug stary 25+ let. Ten sice neni specificky o dane, ale o srv, coz je exaktne totez.

Prostudujte si prosim co znamena pojem "renesance". Doplnte pojmy "politika" a "ekonomie"
DANE is odpiskaly firmy a organizace ktere stoji za browsery a CA businessem. Tezko lze ocekavat ze by si pod sebou podrizly vetev.

Pokud podporu DANE do browseru bude vymyslet CA/B forum, tak bych se celkem bal, aby se pak nemusel kazdy tyden menit KSK a ZSK, aby to browser akceptoval ;-)

DANE je mrtvé, to se už nikdy nechytí

DANE je bohužel závislé na funkčním DNSSEC. Což lze na straně autoritativních serverů zajistit docela dobře, ale na straně klientů je to velký problém. Spousta koncových sítí je rozbitých a ty DNS záznamy prostě nedostanete. Naději dává trochu DNS-over-HTTPS, kde si potřebné informace prohlížeč vyzvedne někde v internetu sám a vyhne se problémovému lokálnímu resolveru, ale je otázka, jestli to tvůrci prohlížečů dotáhnou ke stoprocentní spolehlivosti, aby to bylo použitelné jako plnohodnotná náhrada za PKI, které funguje všude.

" závislé na funkčním DNSSEC"

ne, neni.

ma to jen dva problemy ...

1. bez DNSSEC nebude duveryhodne
2. bez DNSSEC nebude duveryhodne

Je to sice jedna vec ale tak dulezita, ze jsem si to dovolil zminit dvakrat

Ale je, přímo v prvním odstavci RFC 7671 je napsáno: DANE relies on the DNS Security Extensions (DNSSEC). Právě pomocí DNSSEC je zajištěno podepsané předání veřejného klíče v záznamu typu TLSA. Podpis autority v certifikátu nahrazuje právě DNSSEC. Bez něj je to jen textový záznam o veřejném klíči, který je možné libovolně po cestě podvrhnout.

DNS v koncovych sietach je z pohladu DNSSEC "rozbitych", pretoze kopec DNS software stale DNSSEC nepodporuje. Od Samby v AD mode po he.net DNS.

Preskakovat/ig­norovat lokalny resolver vo vybranych aplikaciach je cesta do pekiel; rozbije viac, ako pomoze.

No, ale když se ale podíváte mimo naší českou kotlinu, tak je rozšířenost DNSSEC naprosto tragická. Tam ani DoH nepomůže (a to, navíc, má docela nehezké privacy implikace...)

Je to tak, to jsou právě hlavní nevýhody DANE, které není možné přehlížet. Ono to vypadá jako velmi dobrý nápad, ale ta závislost na DNSSEC to sráží do nepoužitelna. Na tomhle nikdo příčetný nechce postavit třeba bezpečnost bankovních aplikací. Mrzí mě to, taky by se mi něco takového líbilo.