Názor k článku MTA-STS: bezpečné doručování pošty s platnými TLS certifikáty od Danny - Moznosti je.... DV certifikat nebo treba natlak govermentu...
-
DannyStříbrný podporovatelMoznosti je.... DV certifikat nebo treba natlak govermentu na nejakou CA - bez ohledu na CT (ktere pomuze spise s post-mortem analyzou)... aneb jedna vec je ta data nekde verejne "mit", druha realne - a v realnem case - kontrolovat, ze nejaka CA "nahodou" vystavi certifikat, co by nemela... takove incidenty tu uz ostatne i byly, to nejsou zadne teorie :-)
Samozrejme, pokud mam implementovane DANE (na domene s DNSSEC) a otisk aktualne pouziteho certifikatu v TLSA zaznamu, tak si rovnou muzu overit, ze komunikuji se spravnym serverem a ne nejakym podstrcenym nekym na puli cesty. V realu je cely DNSSEC "chain-of-trust" vic pod drobnohledem a obecne hlidatelne jednoduseji, nez chovani jednotlivych certifikacnich autorit - kde problematicnost kontroly praxe opakovane dokazala.
ČLÁNKY DO MAILU