Vlákno názorů k článku
Gmail bude jako první velká služba podporovat MTA-STS a TLS reporting od Ondřej Caletka - Potvrzuji, včera mi přišel od Google první TLS...

Potvrzuji, včera mi přišel od Google první TLS report. Je smutné, že dávají přednost téhle nedokonalé překomplikované šílenosti jménem MTA-STS namísto jednoduché a funkční záležitosti jménem DANE.

MTA-STS má nižší práh zavedení. Bude jednodušší ho zavést na doménách, kde není pořádný admin, nebo kde je rozstrkaná správa mezi více subdodavatelů.

MTA-DANE vyžaduje základní kooperaci mezi správou DNS a získáváním certifikátu. MTA-STS víceméně ne. Do .well-known se vrazí JSON odpověď (lze nascriptovat asi třemi řádky přímo v nginx) a o zbytek se nikdo nemusí starat.

Oproti tomu MTA-DANE vyžaduje, aby se do DNS dostaly certifikáty (nebo hashe) při každé změně. Pro malé spotřebitele je to dost nepohodlné, představuje to nastavování a správu a riziko, že se DNS rozjede od certifikátu. O to víc rizik je, jak se stává populárnější ověřování ACME a čím dál víc firem používá Let's Encrypt certifikáty. Ty mají platnost jen tři měsíce a četl jsem, že se zvažuje zkrácení jejich platnosti.

Z toho důvodu rozumím tomu, že si někdo (Google) vybere MTA-STS jakožto technologii, kterou začne podporovat. MTA-DANE by ovšem zatratit neměli.

O tom nižším prahu zavedení MTA-STS dost pochybuji. Je třeba udržovat na e-mailových serverech validní certifikáty, při změně MX záznamů je třeba změnu opakovat v MTS-STS politice. Když na to někdo zapomene, má tu DoS. Stejně tak služby, které umožňují hostovat uživatelský obsah na subdoméně, třeba Tumblr nebo Github Pages, musí nově vyhradit subdoménu mta-sts, aby nějaký uživatel nemohl vystavit politiku pro celou doménu.

MTA-DANE nevyžaduje žádnou kooperaci mezi správou DNS a získáním certifikátu, vyžaduje pouze DNS hosting s podporou DNSSEC.

Praktické srovnání: Hypotetický vlastník domény example.com, chce hostovanou službu e-mailů.

• Pro MTA-DANE provozovatel potřebuje pouze mít na doméně example.com DNSSEC a nasměrovat MX (a případně SPF, DMARC, atd) záznamy na hosting, všechno ostatní je v režii e-mailového hostingu.
• Pro MTA-STS musí vlastník domény kromě nasměrování MX ještě navíc získat a udržovat validní certifikát pro jméno mta-sts.example.com a na něm ideálně reverzní HTTPS proxy mířící na obdobnou adresu poskytovatele. Případně je možné mít na daném jménu statický text, ale v takovém případě se může politika rozbít při změně na straně hostingu.

Vychází mi z toho, že MTA-DANE je naopak pro každého výrazně jednodušší. Tím nejtvrdším oříškem je požadavek na DNSSEC na autoritativních DNS serverech e-mailového hostingu. Všechno ostatní jsou banality vyřešitelné za několik málo člověkohodin.