|
|
|
|
|
|
|
7.18, Xasd, 10:12, 01/10/2017 [^] [ответить] [смотреть все] [к модератору]
| +/– |
> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...
а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt)
|  | |
|
8.19, Xasd, 10:13, 01/10/2017 [^] [ответить] [смотреть все] [к модератору]
| +/– |
>> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...
> а может ли этот злой MITM-человек -- не взирая на DNSSEC просто
> выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA
> который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt)
сам спросил -- сам отвечаю (цитатой):
> При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:
>
> . CAA 0 issue "letsencrypt.org; account=12345" |  | |
|
|
|
|
|
|
|
1.17, Адекват, 07:01, 27/09/2017 [ответить] [смотреть все] [к модератору]
| +/– |
прост:
host -t CAA comodo.com
comodo.com has CAA record 0 iodef "mailto:sslabuse@comodoca.com"
comodo.com has CAA record 0 issue "comodoca.com"
host -t CAA sberbank.ru
sberbank.ru has no CAA record
|  | |
1.22, ACCA, 23:18, 10/10/2017 [ответить] [смотреть все] [к модератору]
| +/– |
Что-то я не пойму - а как это поможет-то?
Сценарий - у меня сайт cutekitties.org, SSL от ведущих производителей, CAA в DNS, все дела.
Клиент заходит из сети Ростелеком. Который тупо перехватывает все запросы на 53 порт и отвечает со своего DNS сервера, на лету подгибая адрес отвечателя через SNAT. Ну, и по мелочи шаманя в ответах, типа CAA для cutekitties.org может быть только РУСОНИКС.РФ.
Вопрос - и как это поможет клиенту?
|  | |
|
|