forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Вступили в силу требования к удостоверяющим центрам по прове..., opennews (??), 10-Сен-17, (0) [смотреть все]

Усложнились условия торговли воздухом , Аноним (-), 10:22 , 10-Сен-17, (1) +8 //

приятно отметить, что ни одной существующей проблемы это усложнение не затрагива, пох (?), 11:29 , 10-Сен-17, (4) +1 //

example com IN CAA 0 issue letsencrypt org а так , Аноним (-), 09:50 , 11-Сен-17, (18)
CAA and Sub-domainsThe CAA record set for a domain also applies to all sub-domai, Аноним (-), 10:18 , 11-Сен-17, (19) +1

Любое бесполезное усложнение может быть выгодно только торговцам воздухом К сож, EHLO (?), 16:52 , 10-Сен-17, (10) –1

Это что же получается, чтобы корпоративному админу бампнуть https-соединение при, YetAnotherOnanym (ok), 10:43 , 10-Сен-17, (2) +1 //

Нет CCA-запись проверяется только при _генерации_ сертификата на стороне CA Нап, KonstantinB (ok), 11:30 , 10-Сен-17, (5)

зачем нужен централизоанный ICANN-ом DNS когда есть децентрализованный Namecoin-, Аноним (-), 11:11 , 10-Сен-17, (3) //

Децентрализованный DNS, для использования которого надо выкачивать весь блокчейн, KonstantinB (ok), 11:40 , 10-Сен-17, (6) +8

аццтой полный, давно уже пора в днс записях хранить самоподписный, и проверять п, Sw00p aka Jerom (?), 14:25 , 10-Сен-17, (7) +4 //

Для начала бы dnssec внедрить нормально С ним как-то примерно как с ipv6 , KonstantinB (ok), 15:35 , 10-Сен-17, (8) +3 //

Для начала бы в dnssec добавить поддержку стойких алгоритмов , Аноним (-), 17:31 , 10-Сен-17, (11) //

С алгоритмами нормально вполне, гибко rfc6944, rfc6605 Required SHA1 за день , KonstantinB (ok), 19:41 , 10-Сен-17, (12)

Ну и опять же остается вопрос, кто будет подписывать зону - , KonstantinB (ok), 15:41 , 10-Сен-17, (9) +2 //

от корня и по дереву вниз а кто там отвечает за корневые днс - iana org прико, Sw00p aka Jerom (?), 21:16 , 10-Сен-17, (13) //

Корневые - да, а второй уровень Причём, в отличие от CA, выбора нет , Crazy Alex (ok), 21:26 , 10-Сен-17, (14)

так нужно убрать цепочку - корень подписывает второй а второй третий, второй спо, Sw00p aka Jerom (?), 01:18 , 11-Сен-17, (16)

Другими словами вы предлагаете, чтобы dnssec-подпись для любого по сути домена в, Elhana (ok), 03:01 , 11-Сен-17, (17) +1

я даже за запрет делегирования зон, да пусть будет одна организация и пусть хост, Sw00p aka Jerom (?), 23:31 , 11-Сен-17, (20) –1

Ты забываешь о фундаментальных свойствах бюрократии Через 3 года в IANA будет ра, ACCA (ok), 17:19 , 12-Сен-17, (21)

вот тогда и будет чистота и порядок Ынтернетаbnuki rubokil rubolaw rubolyt rubop, Sw00p aka Jerom (?), 19:31 , 12-Сен-17, (22) –1

Те, кто готовы пожертвовать насущной свободой ради малой толики временной безоп, ACCA (ok), 08:56 , 13-Сен-17, (23)

Дайте сначало определение свободы, а то ваще точнее не ваше утверждение звучит, Sw00p aka Jerom (?), 16:31 , 13-Сен-17, (24) –1

Если есть 200 килобаксов на свой gTLD, то да, вариант - , KonstantinB (ok), 00:51 , 11-Сен-17, (15)

Сообщения [Сортировка по времени | RSS]

2. "Вступили в силу требования к удостоверяющим центрам по прове..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 10-Сен-17, 10:43

Это что же получается, чтобы корпоративному админу бампнуть https-соединение придётся ещё и в DNS подменять эту CCA на ответ со своим УЦ?

Ответить | Правка | Наверх | Cообщить модератору

5. "Вступили в силу требования к удостоверяющим центрам по прове..." +/–

Сообщение от KonstantinB (ok), 10-Сен-17, 11:30

Нет. CCA-запись проверяется только при _генерации_ сертификата на стороне CA.
Например, если атакующий имеет возможность провести активную MITM-атаку на HTTP-сервер, он может выпустить "левый" letsencrypt-сертификат. Или получил доступ к e-mail и может подтвердить выпуск AlphaSSL/Comodo. DNS-запись добавляет еще один уровень защиты.
Но, конечно, толк от этого будет, только если _все_ CA начнут поддерживать эту запись.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Вступили в силу требования к удостоверяющим центрам по прове..."	+1 +/–
Сообщение от YetAnotherOnanym (ok), 10-Сен-17, 10:43
Это что же получается, чтобы корпоративному админу бампнуть https-соединение придётся ещё и в DNS подменять эту CCA на ответ со своим УЦ?
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Вступили в силу требования к удостоверяющим центрам по прове..."	+/–
	Сообщение от KonstantinB (ok), 10-Сен-17, 11:30
	Нет. CCA-запись проверяется только при _генерации_ сертификата на стороне CA. Например, если атакующий имеет возможность провести активную MITM-атаку на HTTP-сервер, он может выпустить "левый" letsencrypt-сертификат. Или получил доступ к e-mail и может подтвердить выпуск AlphaSSL/Comodo. DNS-запись добавляет еще один уровень защиты. Но, конечно, толк от этого будет, только если _все_ CA начнут поддерживать эту запись.
	Ответить \| Правка \| Наверх \| Cообщить модератору