Hlavní navigace

Názor k článku Záznam CAA spáruje doménu a autoritu, kontrolován bude od září od Lol Phirae - Tohle "řeší" jen to, že si budeš teoreticky...

Článek je starý, nové názory již nelze přidávat.

  • 18. 4. 2017 17:53

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Tohle "řeší" jen to, že si budeš teoreticky moct omezit okruh CA, které tě eventuálně vypečou. Prakticky to samozřejmě je k ničemu, poněvadž technicky nic nebrání těm zbylým "zakázaným" CA ten certifikát vydat stejně, a klient nic nepozná a navíc to ověřovat ani nesmí.

    Teoreticky samozřejmě se do těch záznamů dají nacpat kraviny typu (viz odkazované RFC)

    CAA 0 issue "ca.example.net; account=123456"

    přičemž ten account by (třeba) podle politiky CA měl být ten jeden jediný správný, ze kterého by o ten certifikát mohl někdo požádat. Prakticky to samozřejmě nikdo nezaručí. Ze stejného soudku (bezcenná šaškárna) je pak ten tag "iodef" (viz 5.4).