Odpověď na názor
Odpovídáte na názor k článku Let's Encrypt zpřístupnil šestidenní certifikáty všem, můžou být vystaveny na IP adresu. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
DannyStříbrný podporovatelProc muj operator? Validovat muze (a mel by) koncovy klient. To, ze na to implementace kaslou neni chybou navrhu protokolu. Jasne, podlehame tomu jak funguje treba klasicke glibc... a do toho radi hejtime systemd-resolved (byt tam je to nedotazene - ale to je ta cesta). Kazdopadne DNSSEC sam o sobe je navrzen tak, ze muze fungovat az na urovni klienta. Pokud mi to operator bude mrsit a banka mi nebude fungovat, je to legitimni duvod jej plisnit za nefungujici sluzbu...
V obecne rovine je ale take plisnit samotne tvurce DNS software.... kdy nam nekteri dlouho bojkotovali treba i DoT. Ono holt kdyz vsichni honi QPS, tak "blbosti" typu TLS v transportu ten vykon tahnou dolu, zejo. A mimochodem takove RFC 9276 je tou honbou za QPS explicitne postizene. A nekterym tem parametrum z toho RFC "neveri" ani samotny CZNIC, viz treba i to co maji na .cz (salt=16 namisto 0) ;-)
Ve finale i diry kolem samotneho DNS flikujeme vsude okolo... a akceptujeme diry v samotnem DNS, pocinaje prave tou "zvykovou" absenci TLS... nebo i to, ze klient sam nevaliduje, co mu prijde.
ČLÁNKY DO MAILU