Comments 14
Да, ожидается, что при несоответствии САА-записи центр сертификации прекращает выдачу сертификата, но ведь центр сертификации может переключиться в ручной режим и принять решение о выпуске
То есть «может выдать, а может не выдать»? В чём тогда смысл?
0
Генератор CAA-записей, но не все провайдеры их поддерживают. Кто-нибудь в курсе почему не сделали валидацию через обычные TXT?
+2
Простите мое невежество, но что такое «валидация через обычные TXT»?
0
Писать разрешенные CA в TXT-запись (как сделано для SPF), а не созавать новый тип ради которого хостерам придётся дорабатывать панели.
+1
Наверное, имеется в виду что-то типа:
_caa IN TXT issue "letsencrypt.org".
Т.е. без введения нового типа записей (CAA).
+3
Странно, что для клиентов (браузеров) не указан очевидный путь для дополнительной проверки надёжности — сверять соответствие CAA-записи и издателя сертификата.
0
Ок. Будем ещё подменять DNS.
0
DNSSEC пока не научились подделывать. Ждем волны взломов корневых DNS.
0
DNSSEC весьма опциональный. И вряд ли это изменится. Так что можно рассчитывать, что в целевом браузере он будет отключён.
0
DNSSEC обладает безопасностью неуловимого Джо. С практической точки зрения мы просто делаем DNS downgrade attack и все широкоиспользуемые клиенты соглашаются с тем, что «так и надо».
0
Sign up to leave a comment.
Форум центров сертификации и разработчиков браузеров утвердил обязательность DNS CAA