После изучения этого протокола у меня возникло стойкое ощущение, что его лепили из того, что было на тот момент под рукой. Жуткая смесь из прокси, кусков DNSSEC, TLS и HPKP. Спасибо, не надо.
Сложнее кому? Браузеру? Да, возможно.
Софту не использующему HTTP? Вряд ли.
Вместо того, чтобы внедрить DNS-over-TLS, что будет незаметно для клиентского софта, предлагается втащить DoH куда только руки дотянутся путём перелопачивания всего и вся.
Бред.
DNSSEC обеспечит получение юзером именно того самого, своего сгенерированного, сертификата.
Да, и это тоже. С внедрением DNSSEC + DANE получится что центров авторизации CA и не надо и контролировать выпуск (для параноиков — просматривать трафик) не получится.
Конечно, доверие переносится на уровень регистратора домена, который будет ваши публичные ключи пушить в DNS, но, в любом случае, одним уровнем (не)доверия становится меньше.
Вижу что за этим форсированием темы DNS-over-HTTPS вместо, казалось бы, самого логичного DNS-over-TLS, стоит тот же Google который хочет завернуть весь мир в свой Chrome (OS).
Да, это попадалово. Хотя, можно этот случай оговорить в соглашении.
Плюс момент доказательства того, что эти данные были переданы, получены и обработаны.
IMHO (и далее по тексту), сам никнэйм нет. А вот в сочетании, например, с email уже да.
Сам IP без его связи с другими данными нет. Если статика и инфо о реальном владельце есть в Whois то да, но в данном случае это вопрос не ваш, а того, кто эти данные там опубликовал.
Так, проблема не в ссылке, а в её искажении при вставке на стороне habr.com — производится замена амперсенда (&) на & и, соответственно, неправильная обработка на странице, куда она ведёт.
На самом деле отставание, как минимум, лет 20.
Для этого достаточно посмотреть на близкую сферу авиации, когда у F-22 уже второе десятилетие стоит на вооружении, а Cу-57 до сих пор обкатывается только-только получив штатный двигатель.
У вас в предложение противоречие, потому что "получить сертификат на IP" и "получить сертификат на бесплатный домен" это две колоссальные разницы, на что и было указано.
Вообще, если уж вам так хочется сэкономить доллар-два в год, то также можно прибегнуть к старому доброму afraid.org
то есть SSL-сертификат на голый IP-адрес выписать МОЖНО
Нельзя и уже относительно давно. Вы выписали таки на домен N.N.N.N.sslip.io и если зайдёте по IP то сертификат будет невалиден. Посмотрите что у вас в самом полученном сертификате написано (Subject: и DNS:).
После изучения этого протокола у меня возникло стойкое ощущение, что его лепили из того, что было на тот момент под рукой. Жуткая смесь из прокси, кусков DNSSEC, TLS и HPKP. Спасибо, не надо.
Просьба не использовать термины смысл которых вы не понимаете. Спасибо.
Сложнее кому? Браузеру? Да, возможно.
Софту не использующему HTTP? Вряд ли.
Вместо того, чтобы внедрить DNS-over-TLS, что будет незаметно для клиентского софта, предлагается втащить DoH куда только руки дотянутся путём перелопачивания всего и вся.
Бред.
Да, и это тоже. С внедрением DNSSEC + DANE получится что центров авторизации CA и не надо и контролировать выпуск (для параноиков — просматривать трафик) не получится.
Конечно, доверие переносится на уровень регистратора домена, который будет ваши публичные ключи пушить в DNS, но, в любом случае, одним уровнем (не)доверия становится меньше.
Вижу что за этим форсированием темы DNS-over-HTTPS вместо, казалось бы, самого логичного DNS-over-TLS, стоит тот же Google который хочет завернуть весь мир в свой Chrome (OS).
Да, это попадалово. Хотя, можно этот случай оговорить в соглашении.
Плюс момент доказательства того, что эти данные были переданы, получены и обработаны.
Я считаю что да. Но я бы выслушал мнение профессионалов.
IMHO (и далее по тексту), сам никнэйм нет. А вот в сочетании, например, с email уже да.
Сам IP без его связи с другими данными нет. Если статика и инфо о реальном владельце есть в Whois то да, но в данном случае это вопрос не ваш, а того, кто эти данные там опубликовал.
Написал багрепорт.
Так, проблема не в ссылке, а в её искажении при вставке на стороне habr.com — производится замена амперсенда (&) на
&и, соответственно, неправильная обработка на странице, куда она ведёт.Видимо, действительно ссылка вставилась некорректно. Вот правильная
https://tiksi.net/channel/kostikov/?f=&mid=1553224e29a489d8deb67bbb985da3db0181a697d51a6d6641c58d42da8504a6@tiksi.net
Дело не в трафике (по-русски с одной "ф"), а в том, что в другом месте этого всего нет в комплекте (видео и презентация).
За толковой информацией прошу обратиться к вебинару и презентации Алексея Мунтяна
Зашёл прочитать о том, почему QUIC хуже HTTP, а увидел переливание из пустого в порожнее о вариациях последнего.
Boooring!
Мой спам фильтр лучше гугловского. Причём существенно.
Альтернатива YouTube может стать PeerTube
Отменить Роскомнадзор будет куда эффективнее
На самом деле отставание, как минимум, лет 20.
Для этого достаточно посмотреть на близкую сферу авиации, когда у F-22 уже второе десятилетие стоит на вооружении, а Cу-57 до сих пор обкатывается только-только получив штатный двигатель.
А ссылку можно?
BBM. Первые удостоились блоков целыми подсетями. И до сих пор в блоке.
У вас в предложение противоречие, потому что "получить сертификат на IP" и "получить сертификат на бесплатный домен" это две колоссальные разницы, на что и было указано.
Вообще, если уж вам так хочется сэкономить доллар-два в год, то также можно прибегнуть к старому доброму afraid.org
Нельзя и уже относительно давно. Вы выписали таки на домен N.N.N.N.sslip.io и если зайдёте по IP то сертификат будет невалиден. Посмотрите что у вас в самом полученном сертификате написано (Subject: и DNS:).