Hlavní navigace

Názor ke zprávičce Turktrust subCA vydala falešné certifikáty k *.google.com, *.android.com a dalším od HisSinIsPride - Tak jsem zkusil https://invalid.v6ak.com/, certifikat se ulozi az...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 6. 1. 2013 1:38

    HisSinIsPride (neregistrovaný) 2600:3c03:0:----:----:----:----:----

    Tak jsem zkusil https://invalid.v6ak.com/, certifikat se ulozi az po odkliknuti warningu a pridani (docasne) vyjimky - to je umyslna dizajnova vlastnost. Ta "invalid certificate" stranka se da obejit (override), pokud ma web v DNS TLSA zaznam "certificate usage" 2 nebo 3 a je to povoleno v preferencich DANE Patrol. Viz https://tools.ietf.org/html/rfc6698#section-2.1.1 pro detailni vysvetleni "certificate usage".

    Priklad override pres certificate usage 3 by mel fungovat treba zde: https://dane.rd.nic.fr/

    Zaznam TLSA pro dane.rd.nic.fr vypada takhle (trocha jsem zkratil vypis dig-u):


    dig +dnssec -t type52 _443._tcp.dane­.rd.nic.fr

    ;; ANSWER SECTION:
    _443._tcp.dane­.rd.nic.fr. 1 IN TYPE52 \# 35 030001E781577­C0EABB6701A0CAF28­7E48CEEBD3BA64B81792­EF4970 5F0F5E1070331B
    _443._tcp.dane­.rd.nic.fr. 1 IN RRSIG TYPE52 5 6 1 20130525134037 20121126134037 47001 dane.rd.nic.fr. nwMq1WIb5fU9O­S2HCDFCyZlfQ+E862I2FiF­fwYHzw5AXGkep­kXejdOI1 01GTgo9C6822v­4PhewLUnMzTttPp/v6cEP­RIBxZA2Fqum4Zc9­5mDeF4f nvA1yYWLoTmXvfVcHUW­bOeCnT71Eea1KaQ­t6Xp9qTZdv1pjd8PUg3uD8 4TU=