Názor k článku Záznam CAA spáruje doménu a autoritu, kontrolován bude od září od j - DNSSEC na to potreba vubec neni, resis dve...
-
j (neregistrovaný)
DNSSEC na to potreba vubec neni, resis dve ruzny veci ... tvuj browser bez dnssec veri IPckku ktery mu DNS vrati, takze uplne stejne muze verit certifikatu kterej pres to DNS dostane, protoze duveryhodnost takovyho zaznamu je o 10radu vyssi, nez nejaka CA.
Kdyz ti podvrhnu IP ... tak ti stejne snadno predlozim zcela validni a "duveryhodny" certifikat, protoze kdyz uz umim vracet jiny IPcko ... tak ho uplne stejne muzu vratit ty CA ... a odkazat ji na falesnej web ... pro kterej mi vystavi ... ten cert.
A nevsim sem si, ze by vsechny CA (nesmela by existovat ani jedina vyjimka) ... vyzadovaly ... dnssec pro domeny, kterym vydavaji cert ... a to sme, u jednoho z mnoha vektoru utoku na celej tenhle zcela nesmyslnej kolotoc.
Protoze dalsi vektor je samo pres web ... kde muzes napadnout bud hosting, nebo konkretni web ... a umistit na nej pozadovanej soubor ... a opet ziskat cert ...
A ve VSECH pripadech plati, ze provozovatel webu nebo drzitel domeny s tim nemuze udelat vubec nic, protoze se to ani nedovi.
ČLÁNKY DO MAILU