forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Раздел полезных советов: Использование CAA записей в DNS для..., auto_tips (ok), 10-Сен-17, (0) [смотреть все]

0 после CAA означает 0-вой TTL Если да, то зачем и чем грозит использование TTL , Ilya Indigo (ok), 17:18 , 10-Сен-17, (1) //

в RFC же все написано это не TTL, это critical flag, точнее flags, который по, Elhana (ok), 20:56 , 10-Сен-17, (2) +1 //

Благодарю Но что-то я не понял Конечно, при условии что CA его поддерживают, ло, Ilya Indigo (ok), 02:21 , 11-Сен-17, (5) //

Опять же, все в rfc Логика следующая Если в будущем добавится какой-то тип зап, Elhana (ok), 02:35 , 11-Сен-17, (6) +1

Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 ii, Elhana (ok), 02:49 , 11-Сен-17, (7) +2

Благодарю, именно это меня больше всего и интересовало Вот по этому я вижу смысл, Ilya Indigo (ok), 03:34 , 11-Сен-17, (8) +1

первый же вопрос - а если выписан самим себе как выглядит запись , fi (ok), 22:53 , 10-Сен-17, (3) //

Точно так же - указываете свой CA, который может выпускать сертификат Правда не, Elhana (ok), 00:15 , 11-Сен-17, (4) //

Браузеры как раз и должны проверять, что полученный сертификат выдан кем то из с, VoDA (ok), 18:06 , 11-Сен-17, (9) +1 //

В RFC-6844 такого не нашёл Можно линк на пруф, тебе же не трудно , _ (??), 23:23 , 11-Сен-17, (10)

в стандарте конечно только про СА написаноно выглядит это как ключ к замку, вися, alex (??), 11:07 , 13-Сен-17, (11)

RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обм, al42and (?), 16:19 , 23-Сен-17, (16)

а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повтор, Xasd (ok), 10:12 , 01-Окт-17, (18)

сам спросил -- сам отвечаю цитатой , Xasd (ok), 10:13 , 01-Окт-17, (19)

Браузеры 8212 не должны Должен проверять CA при получении запроса на выдачу , Аноним (-), 22:20 , 05-Окт-17, (21)

Очевидный вопрос Что будет если я не добавил запись CAA, а мой CA проверяет эту, Аноним (-), 10:01 , 14-Сен-17, (12) //

очевидно ошибку должен выдать - как не прошедший DNS проверку , Аноним (-), 17:34 , 14-Сен-17, (13) //

Не очевидно и даже почти наверняка не должен - если нет CAA записи, то нет и зап, Elhana (ok), 02:12 , 17-Сен-17, (14)

Какой рфц описывает тоже самое для браузеров , Аноним (-), 10:31 , 22-Сен-17, (15) //

Нет такого для браузеров , Аноним (-), 22:19 , 05-Окт-17, (20)

прост host -t CAA comodo comcomodo com has CAA record 0 iodef mailto sslabuse c, Адекват (ok), 07:01 , 27-Сен-17, (17)
Что-то я не пойму - а как это поможет-то Сценарий - у меня сайт cutekitties org,, ACCA (ok), 23:18 , 10-Окт-17, (22) //

Это не для браузеров Читай ветку http www opennet ru tips 3028_ssl_https_caa_, h31 (ok), 11:30 , 13-Окт-17, (23)

Сообщения [Сортировка по времени | RSS]

1. "Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов" +/–

Сообщение от Ilya Indigo (ok), 10-Сен-17, 17:18

0 после CAA означает 0-вой TTL?
Если да, то зачем и чем грозит использование TTL 86400?

Ответить | Правка | Наверх | Cообщить модератору

2. "Использование CAA записей в DNS для защиты от генерации фикт..." +1 +/–

Сообщение от Elhana (ok), 10-Сен-17, 20:56

в RFC же все написано... это не TTL, это critical flag, точнее flags, который пока всего один.
"0" - если CA не смогло понять вашу запись, они могут выдать сертификат.
"128" (не 1!) - если CA не смогло понять вашу запись, они не могут выдавать сертификат.
В принципе для того, что в rfc уже описано, не важно как вы его выставите.
Если CA не поддерживает CAA-запись в принципе, то им в любом случае насpать, а если поддерживают, то будет иметь смысл только для каких-то будущих дополнительных фишек записи.

Ответить | Правка | Наверх | Cообщить модератору

5. "Использование CAA записей в DNS для защиты от генерации фикт..." +/–

Сообщение от Ilya Indigo (ok), 11-Сен-17, 02:21

> в RFC же все написано... это не TTL, это critical flag, точнее
> flags, который пока всего один.
Благодарю.
> "0" - если CA не смогло понять вашу запись, они могут выдать
> сертификат.
> "128" (не 1!) - если CA не смогло понять вашу запись, они
> не могут выдавать сертификат.
> В принципе для того, что в rfc уже описано, не важно как
> вы его выставите.
Но что-то я не понял. Конечно, при условии что CA его поддерживают, логичней выставить 128, чтобы при некорректной записи выдача сертификата не осуществлялась, если я правильно понял.

Ответить | Правка | Наверх | Cообщить модератору

6. "Использование CAA записей в DNS для защиты от генерации фикт..." +1 +/–

Сообщение от Elhana (ok), 11-Сен-17, 02:35

Опять же, все в rfc. Логика следующая: Если в будущем добавится какой-то тип записи, которого нет в данном rfc, как пример приводится новое поле tbs, которого нет в этом rfc. У CA которое знает только о существовании rfc6844 и не знает что делать с tbs есть два варианта - если critical flag у данного поля выставлен в 0, оно может его проигнорировать и все равно выдать сертификат, если остальные условия соблюдены (issue "ca.example.net; policy=ev") или если critical flag выставлен 128, то не выдавать сертификат.
$ORIGIN example.com
. CAA 0 issue "ca.example.net; policy=ev"
. CAA 128 tbs "Unknown"
Так как issue/issuewild/iodef определены в этом rfc, то особого смысла ставить 128 нет.
Либо CA должны поддерживать эти записи и соблюдать их, либо они вообще пока на CAA запись не смотрят.
При некорректной записи, например CAA 0 issue "incorrect record" CA поддерживающий этот rfc не должен выдать сертификат в любом случае.
Я не уверен как оно должно реагировать на CAA 0 или 128 issue "ca.example.net; unknown=blabla", если не понимает что делать с unknown=blabla, в rfc написано, что все дополнительные параметры могут быть site-specific, т.е. определяться CA и поэтому не оговариваются в данном rfc. Можно предположить, что оно должно тоже отказывать в выдаче и наверно опять же независимо от значения critical flag.

Ответить | Правка | Наверх | Cообщить модератору

7. "Использование CAA записей в DNS для защиты от генерации фикт..." +2 +/–

Сообщение от Elhana (ok), 11-Сен-17, 02:49

Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 iisue "ca.example.net; policy=ev", тогда да, CA должен отказать, а при 0 выдать, не найдя ограничений.

Ответить | Правка | Наверх | Cообщить модератору

8. "Использование CAA записей в DNS для защиты от генерации фикт..." +1 +/–

Сообщение от Ilya Indigo (ok), 11-Сен-17, 03:34

> Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128
> iisue "ca.example.net; policy=ev", тогда да, CA должен отказать, а при 0
> выдать, не найдя ограничений.
Благодарю, именно это меня больше всего и интересовало.
Вот по этому я вижу смысл везде ставить только 128.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов"	+/–
Сообщение от Ilya Indigo (ok), 10-Сен-17, 17:18
0 после CAA означает 0-вой TTL? Если да, то зачем и чем грозит использование TTL 86400?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Использование CAA записей в DNS для защиты от генерации фикт..."	+1 +/–
	Сообщение от Elhana (ok), 10-Сен-17, 20:56
	в RFC же все написано... это не TTL, это critical flag, точнее flags, который пока всего один. "0" - если CA не смогло понять вашу запись, они могут выдать сертификат. "128" (не 1!) - если CA не смогло понять вашу запись, они не могут выдавать сертификат. В принципе для того, что в rfc уже описано, не важно как вы его выставите. Если CA не поддерживает CAA-запись в принципе, то им в любом случае насpать, а если поддерживают, то будет иметь смысл только для каких-то будущих дополнительных фишек записи.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от Ilya Indigo (ok), 11-Сен-17, 02:21
	> в RFC же все написано... это не TTL, это critical flag, точнее > flags, который пока всего один. Благодарю. > "0" - если CA не смогло понять вашу запись, они могут выдать > сертификат. > "128" (не 1!) - если CA не смогло понять вашу запись, они > не могут выдавать сертификат. > В принципе для того, что в rfc уже описано, не важно как > вы его выставите. Но что-то я не понял. Конечно, при условии что CA его поддерживают, логичней выставить 128, чтобы при некорректной записи выдача сертификата не осуществлялась, если я правильно понял.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Использование CAA записей в DNS для защиты от генерации фикт..."	+1 +/–
	Сообщение от Elhana (ok), 11-Сен-17, 02:35
	Опять же, все в rfc. Логика следующая: Если в будущем добавится какой-то тип записи, которого нет в данном rfc, как пример приводится новое поле tbs, которого нет в этом rfc. У CA которое знает только о существовании rfc6844 и не знает что делать с tbs есть два варианта - если critical flag у данного поля выставлен в 0, оно может его проигнорировать и все равно выдать сертификат, если остальные условия соблюдены (issue "ca.example.net; policy=ev") или если critical flag выставлен 128, то не выдавать сертификат. $ORIGIN example.com . CAA 0 issue "ca.example.net; policy=ev" . CAA 128 tbs "Unknown" Так как issue/issuewild/iodef определены в этом rfc, то особого смысла ставить 128 нет. Либо CA должны поддерживать эти записи и соблюдать их, либо они вообще пока на CAA запись не смотрят. При некорректной записи, например CAA 0 issue "incorrect record" CA поддерживающий этот rfc не должен выдать сертификат в любом случае. Я не уверен как оно должно реагировать на CAA 0 или 128 issue "ca.example.net; unknown=blabla", если не понимает что делать с unknown=blabla, в rfc написано, что все дополнительные параметры могут быть site-specific, т.е. определяться CA и поэтому не оговариваются в данном rfc. Можно предположить, что оно должно тоже отказывать в выдаче и наверно опять же независимо от значения critical flag.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Использование CAA записей в DNS для защиты от генерации фикт..."	+2 +/–
	Сообщение от Elhana (ok), 11-Сен-17, 02:49
	Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 iisue "ca.example.net; policy=ev", тогда да, CA должен отказать, а при 0 выдать, не найдя ограничений.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Использование CAA записей в DNS для защиты от генерации фикт..."	+1 +/–
	Сообщение от Ilya Indigo (ok), 11-Сен-17, 03:34
	> Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 > iisue "ca.example.net; policy=ev", тогда да, CA должен отказать, а при 0 > выдать, не найдя ограничений. Благодарю, именно это меня больше всего и интересовало. Вот по этому я вижу смысл везде ставить только 128.
	Ответить \| Правка \| Наверх \| Cообщить модератору