アカウント名:
パスワード:
証明書いらない暗号通信のプロトコルをさ
確かに接続毎に証明書を送って、ルート証明書で中間証明書を検証し、中間証明書でサーバ証明書を検証し、とかコストが大きいし、証明書不用になればうれしいですね。しかも証明書を簡単に差し替えられないから(特にルート証明書)、長年にわたってセキュリティを確保するために 2048bit とか 4096bit とか、ずんずん大きくなって行きますし。
組織を証明しなければならないときとかには EV SSL 証明書などが必須ですが、そうでないとき、つまりドメイン名の示す相手と暗号通信できれば良い、ということであれば、公開鍵を DNS に公開するぐらいで SSL 証明
別案としては検証用の fingerprint データを DNS に公開するという手もあります。
たとえば anonymous SSH とかで、サーバ側の fingerprint を DNS で検証できるだけでも良いかもしれません。
いずれにせよ DNS のセキュリティ確保は必須で、DNSSEC も避けては通れない、というのが前提です。
>いずれにせよ DNS のセキュリティ確保は必須で、DNSSEC も避けては通れない、というのが前提です。
キャリアグレードで言えば、最終的なエンドユーザー向けのDNSはキャッシュDNSでDNSSECは非対応、というのが今後も続く相場ですよ。
というのも、DNSSECで検証されると児童ポルノのブロックなど社会的に必要とされている機能群の一部が働かなくなる(「児童ポルノなど有害コンテンツを配信するサイトにも"正しく"送り届けようとしてしまう)上に、キャリアは(上流に別途DNSSEC対応のDNSを立ててそこと階層化するなどして)該当キャッシュDNS自体を含めて網の中でキャッシュポイズニング対策などは可能であるからです。
「児童ポルノのブロック」が、きちんとした規格のDNSSECで動かなくなるのは、なにかたまたま動くハックをしているせいだと思います。
これは次世代のガラパゴスの萌芽だと思います。
ガラパゴスの原因は、大量のたまたま動くハックであると思いますので。
将来を考えると、「児童ポルノのブロック」を絶対の要件とするのはヤバイかも知れません。
ガラパゴスと言いたいだけの無知な学生が暴れてる、まで読んだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
いい加減誰か作ってよ (スコア:1)
証明書いらない暗号通信のプロトコルをさ
Re: (スコア:5, 興味深い)
確かに接続毎に証明書を送って、ルート証明書で中間証明書を検証し、中間証明書でサーバ証明書を検証し、とかコストが大きいし、証明書不用になればうれしいですね。しかも証明書を簡単に差し替えられないから(特にルート証明書)、長年にわたってセキュリティを確保するために 2048bit とか 4096bit とか、ずんずん大きくなって行きますし。
組織を証明しなければならないときとかには EV SSL 証明書などが必須ですが、そうでないとき、つまりドメイン名の示す相手と暗号通信できれば良い、ということであれば、公開鍵を DNS に公開するぐらいで SSL 証明
Re: (スコア:4, 興味深い)
別案としては検証用の fingerprint データを DNS に公開するという手もあります。
たとえば anonymous SSH とかで、サーバ側の fingerprint を DNS で検証できるだけでも良いかもしれません。
いずれにせよ DNS のセキュリティ確保は必須で、DNSSEC も避けては通れない、というのが前提です。
Re: (スコア:0)
>いずれにせよ DNS のセキュリティ確保は必須で、DNSSEC も避けては通れない、というのが前提です。
キャリアグレードで言えば、
最終的なエンドユーザー向けのDNSはキャッシュDNSでDNSSECは非対応、
というのが今後も続く相場ですよ。
というのも、DNSSECで検証されると
児童ポルノのブロックなど社会的に必要とされている機能群の一部が働かなくなる
(「児童ポルノなど有害コンテンツを配信するサイトにも"正しく"送り届けようとしてしまう)
上に、
キャリアは(上流に別途DNSSEC対応のDNSを立ててそこと階層化するなどして)
該当キャッシュDNS自体を含めて
網の中でキャッシュポイズニング対策などは可能であるからです。
Re:いい加減誰か作ってよ (スコア:0)
「児童ポルノのブロック」が、きちんとした規格のDNSSECで動かなくなる
のは、なにかたまたま動くハックをしているせいだと思います。
これは次世代のガラパゴスの萌芽だと思います。
ガラパゴスの原因は、大量のたまたま動くハックであると思いますので。
将来を考えると、「児童ポルノのブロック」を絶対の要件とするのは
ヤバイかも知れません。
Re: (スコア:0)
ガラパゴスと言いたいだけの無知な学生が暴れてる、まで読んだ。