Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Использование CAA записей в DNS для..., auto_tips (ok), 10-Сен-17, (0) [смотреть все] 0 после CAA означает 0-вой TTL Если да, то зачем и чем грозит использование TTL , Ilya Indigo (ok), 17:18 , 10-Сен-17, (1) // в RFC же все написано это не TTL, это critical flag, точнее flags, который по, Elhana (ok), 20:56 , 10-Сен-17, (2) +1 // Благодарю Но что-то я не понял Конечно, при условии что CA его поддерживают, ло, Ilya Indigo (ok), 02:21 , 11-Сен-17, (5) // Опять же, все в rfc Логика следующая Если в будущем добавится какой-то тип зап, Elhana (ok), 02:35 , 11-Сен-17, (6) +1 Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 ii, Elhana (ok), 02:49 , 11-Сен-17, (7) +2 Благодарю, именно это меня больше всего и интересовало Вот по этому я вижу смысл, Ilya Indigo (ok), 03:34 , 11-Сен-17, (8) +1 первый же вопрос - а если выписан самим себе как выглядит запись , fi (ok), 22:53 , 10-Сен-17, (3) // Точно так же - указываете свой CA, который может выпускать сертификат Правда не, Elhana (ok), 00:15 , 11-Сен-17, (4) // Браузеры как раз и должны проверять, что полученный сертификат выдан кем то из с, VoDA (ok), 18:06 , 11-Сен-17, (9) +1 // В RFC-6844 такого не нашёл Можно линк на пруф, тебе же не трудно , _ (??), 23:23 , 11-Сен-17, (10) в стандарте конечно только про СА написаноно выглядит это как ключ к замку, вися, alex (??), 11:07 , 13-Сен-17, (11) RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обм, al42and (?), 16:19 , 23-Сен-17, (16) а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повтор, Xasd (ok), 10:12 , 01-Окт-17, (18) сам спросил -- сам отвечаю цитатой , Xasd (ok), 10:13 , 01-Окт-17, (19) Браузеры 8212 не должны Должен проверять CA при получении запроса на выдачу , Аноним (-), 22:20 , 05-Окт-17, (21) Очевидный вопрос Что будет если я не добавил запись CAA, а мой CA проверяет эту, Аноним (-), 10:01 , 14-Сен-17, (12) // очевидно ошибку должен выдать - как не прошедший DNS проверку , Аноним (-), 17:34 , 14-Сен-17, (13) // Не очевидно и даже почти наверняка не должен - если нет CAA записи, то нет и зап, Elhana (ok), 02:12 , 17-Сен-17, (14) Какой рфц описывает тоже самое для браузеров , Аноним (-), 10:31 , 22-Сен-17, (15) // Нет такого для браузеров , Аноним (-), 22:19 , 05-Окт-17, (20) прост host -t CAA comodo comcomodo com has CAA record 0 iodef mailto sslabuse c, Адекват (ok), 07:01 , 27-Сен-17, (17) Что-то я не пойму - а как это поможет-то Сценарий - у меня сайт cutekitties org,, ACCA (ok), 23:18 , 10-Окт-17, (22)   // Это не для браузеров Читай ветку http www opennet ru tips 3028_ssl_https_caa_, h31 (ok), 11:30 , 13-Окт-17, (23)   1,3,12,15,17,22

Сообщения

[Сортировка по времени | RSS]

22. "Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов"	+/–
Сообщение от ACCA (ok), 10-Окт-17, 23:18
Что-то я не пойму - а как это поможет-то? Сценарий - у меня сайт cutekitties.org, SSL от ведущих производителей, CAA в DNS, все дела. Клиент заходит из сети Ростелеком. Который тупо перехватывает все запросы на 53 порт и отвечает со своего DNS сервера, на лету подгибая адрес отвечателя через SNAT. Ну, и по мелочи шаманя в ответах, типа CAA для cutekitties.org может быть только РУСОНИКС.РФ. Вопрос - и как это поможет клиенту?
Ответить | Правка | Наверх | Cообщить модератору

	23. "Использование CAA записей в DNS для защиты от генерации фикт..."	+/–
	Сообщение от h31 (ok), 13-Окт-17, 11:30
	Это не для браузеров. Читай ветку http://www.opennet.ru/tips/3028_ssl_https_caa_cert_dns.shtml#10
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема