forum.opennet.ru

"Раздел полезных советов: Использование CAA записей в DNS для..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов"	+/–
Сообщение от ACCA (ok), 10-Окт-17, 23:18
Что-то я не пойму - а как это поможет-то? Сценарий - у меня сайт cutekitties.org, SSL от ведущих производителей, CAA в DNS, все дела. Клиент заходит из сети Ростелеком. Который тупо перехватывает все запросы на 53 порт и отвечает со своего DNS сервера, на лету подгибая адрес отвечателя через SNAT. Ну, и по мелочи шаманя в ответах, типа CAA для cutekitties.org может быть только РУСОНИКС.РФ. Вопрос - и как это поможет клиенту?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Использование CAA записей в DNS для..., auto_tips, 10-Сен-17, 17:18 [смотреть все]

0 после CAA означает 0-вой TTL Если да, то зачем и чем грозит использование TTL , Ilya Indigo, 10-Сен-17, 17:18 (1) //
- в RFC же все написано это не TTL, это critical flag, точнее flags, который по, Elhana, 10-Сен-17, 20:56 (2) //
  - Благодарю Но что-то я не понял Конечно, при условии что CA его поддерживают, ло, Ilya Indigo, 11-Сен-17, 02:21 (5) //
    - Опять же, все в rfc Логика следующая Если в будущем добавится какой-то тип зап, Elhana, 11-Сен-17, 02:35 (6)
      - Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 ii, Elhana, 11-Сен-17, 02:49 (7)
        
        Благодарю, именно это меня больше всего и интересовало Вот по этому я вижу смысл, Ilya Indigo, 11-Сен-17, 03:34 (8)
первый же вопрос - а если выписан самим себе как выглядит запись , fi, 10-Сен-17, 22:53 (3) //
- Точно так же - указываете свой CA, который может выпускать сертификат Правда не, Elhana, 11-Сен-17, 00:15 (4) //
  - Браузеры как раз и должны проверять, что полученный сертификат выдан кем то из с, VoDA, 11-Сен-17, 18:06 (9) //
    - В RFC-6844 такого не нашёл Можно линк на пруф, тебе же не трудно , _, 11-Сен-17, 23:23 (10)
      - в стандарте конечно только про СА написаноно выглядит это как ключ к замку, вися, alex, 13-Сен-17, 11:07 (11)
        
        RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обм, al42and, 23-Сен-17, 16:19 (16)
        
        а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повтор, Xasd, 01-Окт-17, 10:12 (18)
        
        сам спросил -- сам отвечаю цитатой , Xasd, 01-Окт-17, 10:13 (19)
    - Браузеры 8212 не должны Должен проверять CA при получении запроса на выдачу , Аноним, 05-Окт-17, 22:20 (21)
Очевидный вопрос Что будет если я не добавил запись CAA, а мой CA проверяет эту, Аноним, 14-Сен-17, 10:01 (12) //
- очевидно ошибку должен выдать - как не прошедший DNS проверку , Аноним, 14-Сен-17, 17:34 (13) //
  - Не очевидно и даже почти наверняка не должен - если нет CAA записи, то нет и зап, Elhana, 17-Сен-17, 02:12 (14)
Какой рфц описывает тоже самое для браузеров , Аноним, 22-Сен-17, 10:31 (15) //
- Нет такого для браузеров , Аноним, 05-Окт-17, 22:19 (20)
прост host -t CAA comodo comcomodo com has CAA record 0 iodef mailto sslabuse c, Адекват, 27-Сен-17, 07:01 (17)
Что-то я не пойму - а как это поможет-то Сценарий - у меня сайт cutekitties org, , ACCA, 10-Окт-17, 23:18 (22) //
- Это не для браузеров Читай ветку http www opennet ru tips 3028_ssl_https_caa_, h31, 13-Окт-17, 11:30 (23)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру