Hlavní navigace

Názor k článku Záznam CAA spáruje doménu a autoritu, kontrolován bude od září od Petr M - Myslím, že u DNSSEC to vyjde nastejno. Pokud...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 4. 2017 12:23

    Petr M (neregistrovaný)

    Myslím, že u DNSSEC to vyjde nastejno. Pokud si připnu k podepsanýmu DNS cert, který podepíše správce domény (klidně i self-signed), je to furt bezpečnější, než současný stav, kdy
    1) Není podepsaná doména -> možnost jejího únosu
    2) Při podstrčení jednoho souboru na správný místo dostane útočník od LE nálepku na hubu prohlížeče
    3) CA dělíme na dvě skupiny - levný nedůvěryhodný a drahý nedůvěryhodný
    4) Před zavedením téhle blbiny mohla libovolná CA vyblít komukoliv certbez mrknutí oka (a dál může, dokud to nepraskne) a hrozí za to jenom bububu tytyty.

    Schválně, co na seznamu CA v článku, co validují, dělá WoSign a StartSSL? Ti přežili sou smrt?

    A ještě jedna věc, když jsem dělal v korporátu, tak jsem potřeboval cert od VeriSign na poštu a VPN. Tož jsem vypsal dotazník na jejich webu, dal platný korporátní mail a cert si stáhnul. Jestli takhle (= patrně jenom podle "správné" IP adresy) dokážou ověřit, že já su já a ne kolega, tak to je mazec. Toliko k mojí důvěře v CA.