Re: SSL сертификат на шару.

[Oleksandr Gavenko <gavenkoa@gmail.com>]

On 2016-01-03, sergio wrote:

> On 02/01/16 14:30, Oleksandr Gavenko wrote:
>
>> Что бы Вы порекомендовали?
>
> Посмотреть на DANE/TLSA + DNSSEC.

Мой DNS регистратор https://www.mindsandmachines.com/ не предоставляет услуги
DNSSEC:

  $ whois defun.work
  ...
  DNSSEC: unsigned

По крайней мере гугление и WEB-интерфейс админки - ничего не сказал.

> На debian.org работает.

  $ whois google.com
  ...
  DNSSEC: unsigned

Печально...

Далее изучение:

  https://wiki.archlinux.org/index.php/DNSSEC

говорит что существующий софт нужно патчить. Патчи не интегрированы никуда из
серверных продуктов.

На клиентах всем тоже пофиг:

  https://wiki.mozilla.org/Security/DNSSEC-TLS-details
  https://addons.mozilla.org/uk/firefox/addon/dnssec-validator/

Т.е. типичные браузеры будут кричать что сертификат неизвестный.

================================================================

Итого - технология отдаленного будущего.

В детали DANE + DNSSEC туго вьезжать.

Но идея - что регистратор подтверждает подписью правильность DNS записи
(DNSSEC) - правильна.

По https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

  DANE enables the administrator of a domain name to certify the keys used in
  that domain's TLS clients or servers by storing them in the Domain Name
  System (DNS).

звучит превосходно.

Деньги за разрешение DNS записей - плачу. Они уже обеспечивают безопасность
данных, распростроняют контент по запросам и им доверяют клиенты (браузеры).

Почему бы им не подписывать мой открытый ключь и не распространять сертификат?

Понятно что бизнес торговцем воздуха (и тех кого они подпитывают, например
Mozilla Foundation) пострадает.

-- 
http://defun.work/