Hlavní navigace

Názor ke zprávičce Mailpile: nový web mail slibující bezpečnost od Franta Kučera - DANE ale slouží k něčemu jinému*. Mně šlo o to,...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 22. 8. 2013 10:35

    Franta Kučera

    DANE ale slouží k něčemu jinému*. Mně šlo o to, aby si uživatel mohl přidat CA mezi důvěryhodné a říct programu např. „tahle CA je důvěryhodná, ale smí vystavovat certifikáty jen pro subdomény v gov.cz, certifikátům pro jiné domény od ní nevěřím“.

    Tahle podmínka může být už dnes v certifikátu, X.509 to podporuje, ale hodilo by se, aby takové omezení mohl doplnit i dodatečně uživatel.

    Hodně by to pomohlo a mohly by být takto omezené různé firemní CA (Google, Microsoft) jen na domény dané firmy, nebo různé lokální CA – na domény daného státu, nebo na státní subdoménu (např. ten gov.cz).

    *) funguje jako dodatečná pojistka (za předpokladu, že uživatel má potřebný SW) pro provozovatele serveru, který může říct např. „pro moji doménu smí certifikáty vydávat jen tahle CA“. Ale uživatel do toho nemá co mluvit, ten si jen tohle pravidlo stáhne přes DNS(SEC) a řídí se jím – ale nemůže si vytvářet pravidla vlastní a omezovat působnost CA, které má mezi důvěryhodnými. V podstatě to z DNS systému dělá takovou paralelní CA.