forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Раздел полезных советов: Использование CAA записей в DNS для..., auto_tips (ok), 10-Сен-17, (0) [смотреть все]

0 после CAA означает 0-вой TTL Если да, то зачем и чем грозит использование TTL , Ilya Indigo (ok), 17:18 , 10-Сен-17, (1) //

в RFC же все написано это не TTL, это critical flag, точнее flags, который по, Elhana (ok), 20:56 , 10-Сен-17, (2) +1 //

Благодарю Но что-то я не понял Конечно, при условии что CA его поддерживают, ло, Ilya Indigo (ok), 02:21 , 11-Сен-17, (5) //

Опять же, все в rfc Логика следующая Если в будущем добавится какой-то тип зап, Elhana (ok), 02:35 , 11-Сен-17, (6) +1

Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 ii, Elhana (ok), 02:49 , 11-Сен-17, (7) +2

Благодарю, именно это меня больше всего и интересовало Вот по этому я вижу смысл, Ilya Indigo (ok), 03:34 , 11-Сен-17, (8) +1

первый же вопрос - а если выписан самим себе как выглядит запись , fi (ok), 22:53 , 10-Сен-17, (3) //

Точно так же - указываете свой CA, который может выпускать сертификат Правда не, Elhana (ok), 00:15 , 11-Сен-17, (4) //

Браузеры как раз и должны проверять, что полученный сертификат выдан кем то из с, VoDA (ok), 18:06 , 11-Сен-17, (9) +1 //

В RFC-6844 такого не нашёл Можно линк на пруф, тебе же не трудно , _ (??), 23:23 , 11-Сен-17, (10)

в стандарте конечно только про СА написаноно выглядит это как ключ к замку, вися, alex (??), 11:07 , 13-Сен-17, (11)

RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обм, al42and (?), 16:19 , 23-Сен-17, (16)

а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повтор, Xasd (ok), 10:12 , 01-Окт-17, (18)

сам спросил -- сам отвечаю цитатой , Xasd (ok), 10:13 , 01-Окт-17, (19)

Браузеры 8212 не должны Должен проверять CA при получении запроса на выдачу , Аноним (-), 22:20 , 05-Окт-17, (21)

Очевидный вопрос Что будет если я не добавил запись CAA, а мой CA проверяет эту, Аноним (-), 10:01 , 14-Сен-17, (12) //

очевидно ошибку должен выдать - как не прошедший DNS проверку , Аноним (-), 17:34 , 14-Сен-17, (13) //

Не очевидно и даже почти наверняка не должен - если нет CAA записи, то нет и зап, Elhana (ok), 02:12 , 17-Сен-17, (14)

Какой рфц описывает тоже самое для браузеров , Аноним (-), 10:31 , 22-Сен-17, (15) //

Нет такого для браузеров , Аноним (-), 22:19 , 05-Окт-17, (20)

прост host -t CAA comodo comcomodo com has CAA record 0 iodef mailto sslabuse c, Адекват (ok), 07:01 , 27-Сен-17, (17)
Что-то я не пойму - а как это поможет-то Сценарий - у меня сайт cutekitties org,, ACCA (ok), 23:18 , 10-Окт-17, (22) //

Это не для браузеров Читай ветку http www opennet ru tips 3028_ssl_https_caa_, h31 (ok), 11:30 , 13-Окт-17, (23)

Сообщения [Сортировка по времени | RSS]

3. "Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов" +/–

Сообщение от fi (ok), 10-Сен-17, 22:53

первый же вопрос - а если выписан самим себе? как выглядит запись?

Ответить | Правка | Наверх | Cообщить модератору

4. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от Elhana (ok), 11-Сен-17, 00:15

Точно так же - указываете свой CA, который может выпускать сертификат. Правда не очень понятно зачем, но можно.. Можно указать пустой список CAA 0 issue ";", что значить что ни один CA, который соблюдает это rfc, не должен выпускать сертификат.
Эта запись в любом случае не для клиентов, а для CA - браузеры не должны ее проверять.

Ответить | Правка | Наверх | Cообщить модератору

9. "Использование CAA записей в DNS для защиты от генерации фикт..." +1 +/–

Сообщение от VoDA (ok), 11-Сен-17, 18:06

> Точно так же - указываете свой CA, который может выпускать сертификат. Правда
> не очень понятно зачем, но можно.. Можно указать пустой список CAA
> 0 issue ";", что значить что ни один CA, который соблюдает
> это rfc, не должен выпускать сертификат.
> Эта запись в любом случае не для клиентов, а для CA -
> браузеры не должны ее проверять.
Браузеры как раз и должны проверять, что полученный сертификат выдан кем то из списка CAA. Если не из списка CAA, то это явное указание на подделку сертификата. К примеру через прокси или MITM.

Ответить | Правка | Наверх | Cообщить модератору

10. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от _ (??), 11-Сен-17, 23:23

> Браузеры как раз и должны проверять,
В RFC-6844 такого не нашёл. Можно линк на пруф, тебе же не трудно?

Ответить | Правка | Наверх | Cообщить модератору

11. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от alex (??), 13-Сен-17, 11:07

в стандарте конечно только про СА написано
но выглядит это как ключ к замку, висящий рядом с дверью, и запиской "входить только хозяевам", то есть защита только от честных людей

Ответить | Правка | Наверх | Cообщить модератору

16. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от al42and (?), 23-Сен-17, 16:19

RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обманом получить сертификат на чужой домен от честного CA.

А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...

Ответить | Правка | Наверх | Cообщить модератору

18. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от Xasd (ok), 01-Окт-17, 10:12

> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...
а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt)

Ответить | Правка | Наверх | Cообщить модератору

19. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от Xasd (ok), 01-Окт-17, 10:13

>> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...
> а может ли этот злой MITM-человек -- не взирая на DNSSEC просто
> выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA
> который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt)
сам спросил -- сам отвечаю (цитатой):
> При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:
>
> . CAA 0 issue "letsencrypt.org; account=12345"

Ответить | Правка | Наверх | Cообщить модератору

21. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от Аноним (-), 05-Окт-17, 22:20

> Браузеры как раз и должны проверять, что полученный сертификат выдан кем то
> из списка CAA.
Браузеры — не должны. Должен проверять CA при получении запроса на выдачу сертификата.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов"	+/–
Сообщение от fi (ok), 10-Сен-17, 22:53
первый же вопрос - а если выписан самим себе? как выглядит запись?
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от Elhana (ok), 11-Сен-17, 00:15
	Точно так же - указываете свой CA, который может выпускать сертификат. Правда не очень понятно зачем, но можно.. Можно указать пустой список CAA 0 issue ";", что значить что ни один CA, который соблюдает это rfc, не должен выпускать сертификат. Эта запись в любом случае не для клиентов, а для CA - браузеры не должны ее проверять.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Использование CAA записей в DNS для защиты от генерации фикт..."	+1 +/–
	Сообщение от VoDA (ok), 11-Сен-17, 18:06
	> Точно так же - указываете свой CA, который может выпускать сертификат. Правда > не очень понятно зачем, но можно.. Можно указать пустой список CAA > 0 issue ";", что значить что ни один CA, который соблюдает > это rfc, не должен выпускать сертификат. > Эта запись в любом случае не для клиентов, а для CA - > браузеры не должны ее проверять. Браузеры как раз и должны проверять, что полученный сертификат выдан кем то из списка CAA. Если не из списка CAA, то это явное указание на подделку сертификата. К примеру через прокси или MITM.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от _ (??), 11-Сен-17, 23:23
	> Браузеры как раз и должны проверять, В RFC-6844 такого не нашёл. Можно линк на пруф, тебе же не трудно?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от alex (??), 13-Сен-17, 11:07
	в стандарте конечно только про СА написано но выглядит это как ключ к замку, висящий рядом с дверью, и запиской "входить только хозяевам", то есть защита только от честных людей
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от al42and (?), 23-Сен-17, 16:19
	RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обманом получить сертификат на чужой домен от честного CA. А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от Xasd (ok), 01-Окт-17, 10:12
	> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует... а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от Xasd (ok), 01-Окт-17, 10:13
	>> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует... > а может ли этот злой MITM-человек -- не взирая на DNSSEC просто > выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA > который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt) сам спросил -- сам отвечаю (цитатой): > При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты: > > . CAA 0 issue "letsencrypt.org; account=12345"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от Аноним (-), 05-Окт-17, 22:20
	> Браузеры как раз и должны проверять, что полученный сертификат выдан кем то > из списка CAA. Браузеры — не должны. Должен проверять CA при получении запроса на выдачу сертификата.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору