アカウント名:
パスワード:
「たぶん実害はないから放置しても問題ないだろう」(マーフィーの法則によると、得てしてそういう時に限って問題が含まれている)という不確かで属人的な判断を排除するための規則なのに、例外を認めるのは悪しき前例になりゃしませんかね。
Symantecはそうやって「なあなあ」な態度を取っていたから証明書事業を手放す羽目になったわけですし、その教訓から生まれたCAAレコードでこういうことがあると、Let's Encryptの信用にもかかわるし、「どうせCAAレコードなんて設定しても無駄」という風潮が生まれかねない。
>「どうせCAAレコードなんて設定しても無駄」
いや、無駄ですよね?DV証明書を不正発行させるには、対象ドメインを何らかの方法で乗っ取る必要があって、直接DNSを乗っ取れたならCAAレコードごと書き換えできちゃうし、DNSではなくHTTPやメールのみの乗っ取りに留まる場合でも、CAAに記載されたCAから別の証明書を発行させることはできるんだから。せめてDNSSECがMUSTになっていればまだ救いはあるのになってないし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
何のための規則なのか (スコア:2, 興味深い)
「たぶん実害はないから放置しても問題ないだろう」(マーフィーの法則によると、得てしてそういう時に限って問題が含まれている)という不確かで属人的な判断を排除するための規則なのに、例外を認めるのは悪しき前例になりゃしませんかね。
Symantecはそうやって「なあなあ」な態度を取っていたから証明書事業を手放す羽目になったわけですし、その教訓から生まれたCAAレコードでこういうことがあると、Let's Encryptの信用にもかかわるし、「どうせCAAレコードなんて設定しても無駄」という風潮が生まれかねない。
Re:何のための規則なのか (スコア:0)
>「どうせCAAレコードなんて設定しても無駄」
いや、無駄ですよね?
DV証明書を不正発行させるには、対象ドメインを何らかの方法で乗っ取る必要があって、
直接DNSを乗っ取れたならCAAレコードごと書き換えできちゃうし、
DNSではなくHTTPやメールのみの乗っ取りに留まる場合でも、
CAAに記載されたCAから別の証明書を発行させることはできるんだから。
せめてDNSSECがMUSTになっていればまだ救いはあるのになってないし。