Форум центров сертификации и разработчиков браузеров утвердил обязательность DNS CAA

[Caravus]

Да, ожидается, что при несоответствии САА-записи центр сертификации прекращает выдачу сертификата, но ведь центр сертификации может переключиться в ручной режим и принять решение о выпуске

То есть «может выдать, а может не выдать»? В чём тогда смысл?

[navion]

Генератор CAA-записей, но не все провайдеры их поддерживают. Кто-нибудь в курсе почему не сделали валидацию через обычные TXT?

[Stalker_RED]

Простите мое невежество, но что такое «валидация через обычные TXT»?

[navion]

Писать разрешенные CA в TXT-запись (как сделано для SPF), а не созавать новый тип ради которого хостерам придётся дорабатывать панели.

[kilgur]

Не только панели :) еще и клиенты с серверами DNS

[navion]

В RHEL7 бэкпортировали поддержку CAA для BIND 9.9.4, так что на линуксе проблем быть не должно.

[kilgur]

Наверное, имеется в виду что-то типа:
_caa IN TXT issue "letsencrypt.org".
Т.е. без введения нового типа записей (CAA).

[kinoz]

Нет, если верить генератору из комментария выше, это именно новый тип.
Если верить этому генератору, то список dns серверов довольно обширен, а панели, я думаю не так много работы по внедрению нового типа записей.

[alkoro]

Странно, что для клиентов (браузеров) не указан очевидный путь для дополнительной проверки надёжности — сверять соответствие CAA-записи и издателя сертификата.

[NaHCO3]

Ок. Будем ещё подменять DNS.

[sunnybear]

DNSSEC пока не научились подделывать. Ждем волны взломов корневых DNS.

[NaHCO3]

DNSSEC весьма опциональный. И вряд ли это изменится. Так что можно рассчитывать, что в целевом браузере он будет отключён.

[amarao]

DNSSEC обладает безопасностью неуловимого Джо. С практической точки зрения мы просто делаем DNS downgrade attack и все широкоиспользуемые клиенты соглашаются с тем, что «так и надо».

[TaHKucT]

нужен аналог HSTS для DNS!