Vlákno názorů k článku
Falešné TLS certifikáty pro 1.1.1.1 od Marek - Co DANE? Zabránilo by tomu?

Co DANE? Zabránilo by tomu?

Ano.

Upřímně ten systém, kdy nějaké třetí strany ověřují kdo doménu drží... mi přijde divný design. Podpis od daného registru mi dává smysl, protože na něm to visí tak jako tak (CA prostě zase dělají obyčejné DNS dotazy). To že vydávání certifikátů přes CA nemá dobré bezpečnostní vlastnosti se záplatuje viditelností v CT logách, ale zase je to takové polovičaté a složité.

Nezabránilo. Jednak šlo o vystavení certifikátu, to DANE nijak neřeší. Jednak šlo o certifikát vystavený na IP adresu – DANE řeší přidání certifikátu do DNS, u IP adresy ale nemáte kam do DNS ten certifikát přidat. (Teda pokud byste nechtěl kvůli jednotkám případů upravovat standard, aby se DANE záznamy daly přidávat k reverzním DNS záznamům.)

Oh, OK. Tak ale co s tím pak? Myslím z technického hlediska, ne z politického, či honu za ziskem. Děje se to opakovaně a je jedno jestli úmyslně nebo pochybením.

Důvody, proč se to děje, jsou různé, a různé důvody mají různá řešení. Každopádně dneska nejjednodušší, co se dá dělat, je sledovat Certificate Transparency logy, zda nebyl nějaký certifikát vydán neoprávněně. Cloudflare řeší, proč to u nich selhalo a co udělají jinak, aby jim tohle příště fungovalo – zejména když monitoring CT nabízejí i jako službu pro ostatní (a neselhala ta služba, selhalo její použití).