forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск Simply Linux 10.1 для RISC-V"
Отправлено RM, 18-Фев-23 14:51

>сайты могут ограничить возможность подмены сторонним центром сертификации через CAA запись.
во первых подмена сертификата сайта подразумевает MITM или подмену DNS resolution как минимум. т.е. защищаться проверяя еще один DNS record - просто глупо, его тем же самым механизмом тоже подменят.
CAA RFC:
Use of DNSSEC to authenticate CAA RRs is strongly RECOMMENDED but not required.
Ну и даже если бы, то все равно CAA не предназначено для проверки клиентами, оно для CA.
с DANE наверное спутали.
CAA RFC:
A set of CAA records describes only current grants of authority to issue certificates for the corresponding DNS domain name. Since certificates are valid for a period of time, it is possible that a certificate that is not conformant with the CAA records currently published was conformant with the CAA records published at the time that the certificate was issued. Relying Parties MUST NOT use CAA records as part of certificate validation.

Исходное сообщение
"Выпуск Simply Linux 10.1 для RISC-V" Отправлено RM, 18-Фев-23 14:51
>сайты могут ограничить возможность подмены сторонним центром сертификации через CAA запись. во первых подмена сертификата сайта подразумевает MITM или подмену DNS resolution как минимум. т.е. защищаться проверяя еще один DNS record - просто глупо, его тем же самым механизмом тоже подменят. CAA RFC: Use of DNSSEC to authenticate CAA RRs is strongly RECOMMENDED but not required. Ну и даже если бы, то все равно CAA не предназначено для проверки клиентами, оно для CA. с DANE наверное спутали. CAA RFC: A set of CAA records describes only current grants of authority to issue certificates for the corresponding DNS domain name. Since certificates are valid for a period of time, it is possible that a certificate that is not conformant with the CAA records currently published was conformant with the CAA records published at the time that the certificate was issued. Relying Parties MUST NOT use CAA records as part of certificate validation.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру