Re: SSL сертификат на шару.
On 2016-01-03, sergio wrote:
> On 02/01/16 14:30, Oleksandr Gavenko wrote:
>
>> Что бы Вы порекомендовали?
>
> Посмотреть на DANE/TLSA + DNSSEC.
Мой DNS регистратор https://www.mindsandmachines.com/ не предоставляет услуги
DNSSEC:
$ whois defun.work
...
DNSSEC: unsigned
По крайней мере гугление и WEB-интерфейс админки - ничего не сказал.
> На debian.org работает.
$ whois google.com
...
DNSSEC: unsigned
Печально...
Далее изучение:
https://wiki.archlinux.org/index.php/DNSSEC
говорит что существующий софт нужно патчить. Патчи не интегрированы никуда из
серверных продуктов.
На клиентах всем тоже пофиг:
https://wiki.mozilla.org/Security/DNSSEC-TLS-details
https://addons.mozilla.org/uk/firefox/addon/dnssec-validator/
Т.е. типичные браузеры будут кричать что сертификат неизвестный.
================================================================
Итого - технология отдаленного будущего.
В детали DANE + DNSSEC туго вьезжать.
Но идея - что регистратор подтверждает подписью правильность DNS записи
(DNSSEC) - правильна.
По https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities
DANE enables the administrator of a domain name to certify the keys used in
that domain's TLS clients or servers by storing them in the Domain Name
System (DNS).
звучит превосходно.
Деньги за разрешение DNS записей - плачу. Они уже обеспечивают безопасность
данных, распростроняют контент по запросам и им доверяют клиенты (браузеры).
Почему бы им не подписывать мой открытый ключь и не распространять сертификат?
Понятно что бизнес торговцем воздуха (и тех кого они подпитывают, например
Mozilla Foundation) пострадает.
--
http://defun.work/
Reply to: