|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Раздел полезных советов: Использование CAA записей в DNS для..." | +/– | |
Сообщение от auto_tips (ok) on 10-Сен-17, 17:18 | ||
Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по ответам | RSS] |
1. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Ilya Indigo (ok) on 10-Сен-17, 17:18 | ||
0 после CAA означает 0-вой TTL? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Использование CAA записей в DNS для защиты от генерации фикт..." | +1 +/– | |
Сообщение от Elhana (ok) on 10-Сен-17, 20:56 | ||
в RFC же все написано... это не TTL, это critical flag, точнее flags, который пока всего один. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от fi (ok) on 10-Сен-17, 22:53 | ||
первый же вопрос - а если выписан самим себе? как выглядит запись? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Elhana (ok) on 11-Сен-17, 00:15 | ||
Точно так же - указываете свой CA, который может выпускать сертификат. Правда не очень понятно зачем, но можно.. Можно указать пустой список CAA 0 issue ";", что значить что ни один CA, который соблюдает это rfc, не должен выпускать сертификат. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
5. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Ilya Indigo (ok) on 11-Сен-17, 02:21 | ||
> в RFC же все написано... это не TTL, это critical flag, точнее | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
6. "Использование CAA записей в DNS для защиты от генерации фикт..." | +1 +/– | |
Сообщение от Elhana (ok) on 11-Сен-17, 02:35 | ||
Опять же, все в rfc. Логика следующая: Если в будущем добавится какой-то тип записи, которого нет в данном rfc, как пример приводится новое поле tbs, которого нет в этом rfc. У CA которое знает только о существовании rfc6844 и не знает что делать с tbs есть два варианта - если critical flag у данного поля выставлен в 0, оно может его проигнорировать и все равно выдать сертификат, если остальные условия соблюдены (issue "ca.example.net; policy=ev") или если critical flag выставлен 128, то не выдавать сертификат. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "Использование CAA записей в DNS для защиты от генерации фикт..." | +2 +/– | |
Сообщение от Elhana (ok) on 11-Сен-17, 02:49 | ||
Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 iisue "ca.example.net; policy=ev", тогда да, CA должен отказать, а при 0 выдать, не найдя ограничений. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
8. "Использование CAA записей в DNS для защиты от генерации фикт..." | +1 +/– | |
Сообщение от Ilya Indigo (ok) on 11-Сен-17, 03:34 | ||
> Ну и если под некорректной записью понимается какая-то опечатка вроде CAA 128 | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
9. "Использование CAA записей в DNS для защиты от генерации фикт..." | +1 +/– | |
Сообщение от VoDA (ok) on 11-Сен-17, 18:06 | ||
> Точно так же - указываете свой CA, который может выпускать сертификат. Правда | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
10. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от _ (??) on 11-Сен-17, 23:23 | ||
> Браузеры как раз и должны проверять, | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
11. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от alex (??) on 13-Сен-17, 11:07 | ||
в стандарте конечно только про СА написано | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
12. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Аноним (??) on 14-Сен-17, 10:01 | ||
Очевидный вопрос: Что будет если я не добавил запись CAA, а мой CA проверяет эту запись? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
13. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Аноним (??) on 14-Сен-17, 17:34 | ||
очевидно ошибку должен выдать - как не прошедший DNS проверку. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
14. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Elhana (ok) on 17-Сен-17, 02:12 | ||
Не очевидно и даже почти наверняка не должен - если нет CAA записи, то нет и запрета. Вот если запись пустая, то да. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
15. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Аноним (??) on 22-Сен-17, 10:31 | ||
Какой рфц описывает тоже самое для браузеров? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
16. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от al42and on 23-Сен-17, 16:19 | ||
RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обманом получить сертификат на чужой домен от честного CA. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
17. "Раздел полезных советов: Использование CAA записей в DNS для..." | +/– | |
Сообщение от Адекват (ok) on 27-Сен-17, 07:01 | ||
прост: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Xasd (ok) on 01-Окт-17, 10:12 | ||
> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует... | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
19. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Xasd (ok) on 01-Окт-17, 10:13 | ||
>> А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует... | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
20. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Аноним (??) on 05-Окт-17, 22:19 | ||
Нет такого для браузеров. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
21. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от Аноним (??) on 05-Окт-17, 22:20 | ||
> Браузеры как раз и должны проверять, что полученный сертификат выдан кем то | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
22. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от ACCA (ok) on 10-Окт-17, 23:18 | ||
Что-то я не пойму - а как это поможет-то? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
23. "Использование CAA записей в DNS для защиты от генерации фикт..." | +/– | |
Сообщение от h31 (ok) on 13-Окт-17, 11:30 | ||
Это не для браузеров. Читай ветку http://www.opennet.me/tips/3028_ssl_https_caa_cert_dns.shtml#10 | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |