パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

DNSのCAAリソース・レコード、使っていますか?」記事へのコメント

  • DNS cache poisoning 攻撃を考えると、CAAはDNSSECと組み合わせないと意味がないというか、
    むしろ信頼性が低下する。

    でも、DNSSECがちゃんと普及するなら、そのDNSSEC的な公開鍵配布の仕組みを用いて、
    SSL証明書のドメイン認証レベルまでは実現できたはず。
    (企業認証やEV認証もその延長線上で実現する手だってあっただろう)

    SSL証明書が、DNSのドメイン階層とまったく関係ないOSIのX.509証明書を流用したおかげで、
    同じようなことを二重に実装することになって世の中の複雑度が上がってるんじゃないか。

    DNSSECが本格的な普及せずに終われば二重じゃなくてすむけど。
    DDoS amplifier的に意味では、DNSSECはむしろ問題源となるプロトコルだし。

    • by Anonymous Coward on 2017年03月19日 22時40分 (#3179192)

      だから誤発行の防止だって言ってるじゃん。最初から目的にもしていないMiTM防御の役に立たないとか言いがかりつけられても

      親コメント
      • by Anonymous Coward

        > だから誤発行の防止だって言ってるじゃん。

        DNSSEC使ってない限り、誤発行の防止にさえ使えない。つまりDNSSEC必須な仕組み。

        DNSSEC必須であれば、現行のSSL証明書の仕組みが屋上屋を重ねる感じでなんだかなあ。

        って話なんだけど...?

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...