Odpověď na názor
Odpovídáte na názor k článku Let's Encrypt zpřístupnil šestidenní certifikáty všem, můžou být vystaveny na IP adresu. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Problem s DANE je, ze prohlizec nevaliduje DNSSEC, jen hloupe spoleha na externi server... Pokud na vas nekdo udela MITM, tak muze udelat MITM i na vasi komunikaci s resolverem a je to game over. Aby to fungovalo, tak by musel mit prohlizec rekurzivni resolver validujici DNSSEC, coz je nesmysl. Takze by musel vzniknout nejaky system, kdy prohlizec dostane od externiho rekurzivniho resolveru cely retez DNSSEC zaznamu od korenove autority az po hostname serveru a musel by si sam spravovat/rotovat korenove klice. Nic takoveho prolhizece momentalne neumi.
Podobna situace je treba u SSHFP zaznamu. Pridal jsem si do svoji domeny SSHFP zaznam, povolil si to v openssh a zdesil se, ze to bez problemu prijme klic i kdyz vubec nepouzivam DNSSEC. Tyhle technologie jsou hrozne nedotazene, takze jsem to ihned zas zakazal.
19. 1. 2026, 09:10 editováno autorem komentáře
ČLÁNKY DO MAILU