OpenForum RSS: Вступили в силу требования к удостоверяющим центрам по прове... https://opennet.me/openforum/vsluhforumID3/112192.html 8 сентября вступило (https://mailarchive.ietf.org/arch/msg/spasm/vHL260X6Zb2C0VSwDwa8VZC1Kw0) в силу предписание, в соответствии с которым удостоверяющие центры должны обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844 (https://tools.ietf.org/html/rfc6844), Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. <br><br><br>Пример настройки CAA можно посмотреть в данной заметке (https://www.opennet.ru/tips/3028_ssl_https_caa_cert_dns.shtml). Автоматически сформировать DNS-записи с CAA можно через специально подготовленный web-интерфейс (https://sslmate.com/caa/).<br><br>URL: https://letsencrypt.org/docs/caa/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=47168<br> Вступили в силу требования к удостоверяющим центрам по прове... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/112192.html#24 Wed, 13 Sep 2017 13:31:22 GMT Дайте сначало определение свободы, а то ваще (точнее не ваше) утверждение звучит не обоснованно.<br> Вступили в силу требования к удостоверяющим центрам по прове... (ACCA) https://opennet.me/openforum/vsluhforumID3/112192.html#23 Wed, 13 Sep 2017 05:56:46 GMT &gt;&gt;&gt;утверждаться на заседании президиума технического комитета.<br>&gt; таки да. Лучше уж бюрократия чем беспредел <br><br>"Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности"<br> Вступили в силу требования к удостоверяющим центрам по прове... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/112192.html#22 Tue, 12 Sep 2017 16:31:52 GMT &gt;&gt;Через 3 года в IANA будет работать 8 тыс. человек, A-запись будет стоить $300 в год, вносить её будут две недели. SOA запись будут создавать только по решению технического комитета, заседающего 2 раза в год.<br><br>вот тогда и будет чистота и порядок Ынтернета<br><br>bnuki.ru<br>bokil.ru<br>bolaw.ru<br>bolyt.ru<br>bopyn.ru<br>boriw.ru<br>cotad.ru<br>dakil.ru<br>datom.ru<br>deril.ru<br><br>вам говорят эти домены о чём то ? если нет - накупленые и качественно организованные под распространение спама, в частности направленного действия (APT). И как собственно это называть ? - беспредел Ынтернета.<br><br>&gt;&gt;утверждаться на заседании президиума технического комитета.<br><br>таки да. Лучше уж бюрократия чем беспредел<br><br><br><br><br><br><br><br> Вступили в силу требования к удостоверяющим центрам по прове... (ACCA) https://opennet.me/openforum/vsluhforumID3/112192.html#21 Tue, 12 Sep 2017 14:19:09 GMT Ты забываешь о фундаментальных свойствах бюрократии.<br><br>Через 3 года в IANA будет работать 8 тыс. человек, A-запись будет стоить $300 в год, вносить её будут две недели. SOA запись будут создавать только по решению технического комитета, заседающего 2 раза в год.<br><br>Через 5 лет в IANA будет работать больше 10тыс. человек, внесение изменений в существующую зону будет только по предварительной записи в порядке живой очереди. На приём будут записывать с 9 до 16:00 с перерывом на обед с 12:00 до 14:00. Выходной день - вторник. В праздничные дни США, Индии, Малайзии, Китая, Франции и Израиля - закрыто. Решения технического комитета станут рекомендациями, которые раз в два года должны будут утверждаться на заседании президиума технического комитета.<br> Вступили в силу требования к удостоверяющим центрам по прове... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/112192.html#20 Mon, 11 Sep 2017 20:31:44 GMT я даже за запрет делегирования зон, да пусть будет одна организация и пусть хостит всё у себя, я готов платить им за это, скока мы там платим за ев сертификаты в год ? или там днс хостинг ? зато буду знать с кого спрашивать при инцидентах. посредничество - зло, никакого доверия третьей стороне.<br> Вступили в силу требования к удостоверяющим центрам по прове... (Аноним) https://opennet.me/openforum/vsluhforumID3/112192.html#19 Mon, 11 Sep 2017 07:18:08 GMT CAA and Sub-domains<br><br>The CAA record set for a domain also applies to all sub-domains. If a sub-domain has its own CAA record set, it takes precedence.<br> Вступили в силу требования к удостоверяющим центрам по прове... (Аноним) https://opennet.me/openforum/vsluhforumID3/112192.html#18 Mon, 11 Sep 2017 06:50:10 GMT *.example.com.INCAA0 issue "letsencrypt.org"<br>а так?<br> Вступили в силу требования к удостоверяющим центрам по прове... (Elhana) https://opennet.me/openforum/vsluhforumID3/112192.html#17 Mon, 11 Sep 2017 00:01:27 GMT Другими словами вы предлагаете, чтобы dnssec-подпись для любого по сути домена в мире проходила через iana, а не через регистратора - думаете iana заняться больше нечем? <br> Вступили в силу требования к удостоверяющим центрам по прове... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/112192.html#16 Sun, 10 Sep 2017 22:18:04 GMT так нужно убрать цепочку - корень подписывает второй а второй третий, второй спокойно без корня может подписать третий фейковый, суть в том что нуно чтобы тока корень всех подписывал - сужаем ответственность до одного и будем завтра спрашивать с него. Убираем нафиг делегейшен сайнинг.<br>