アカウント名:
パスワード:
DNS cache poisoning 攻撃を考えると、CAAはDNSSECと組み合わせないと意味がないというか、むしろ信頼性が低下する。
でも、DNSSECがちゃんと普及するなら、そのDNSSEC的な公開鍵配布の仕組みを用いて、SSL証明書のドメイン認証レベルまでは実現できたはず。(企業認証やEV認証もその延長線上で実現する手だってあっただろう)
SSL証明書が、DNSのドメイン階層とまったく関係ないOSIのX.509証明書を流用したおかげで、同じようなことを二重に実装することになって世の中の複雑度が上がってるんじゃないか。
DNSSECが本格的な普及せずに終われば二重じゃなくてすむけど。DDoS amplifier的に意味では、DNSSECはむしろ問題源となるプロトコルだし。
だから誤発行の防止だって言ってるじゃん。最初から目的にもしていないMiTM防御の役に立たないとか言いがかりつけられても
> だから誤発行の防止だって言ってるじゃん。
DNSSEC使ってない限り、誤発行の防止にさえ使えない。つまりDNSSEC必須な仕組み。
DNSSEC必須であれば、現行のSSL証明書の仕組みが屋上屋を重ねる感じでなんだかなあ。
って話なんだけど...?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
いろいろ間違ってる感じ (スコア:0)
DNS cache poisoning 攻撃を考えると、CAAはDNSSECと組み合わせないと意味がないというか、
むしろ信頼性が低下する。
でも、DNSSECがちゃんと普及するなら、そのDNSSEC的な公開鍵配布の仕組みを用いて、
SSL証明書のドメイン認証レベルまでは実現できたはず。
(企業認証やEV認証もその延長線上で実現する手だってあっただろう)
SSL証明書が、DNSのドメイン階層とまったく関係ないOSIのX.509証明書を流用したおかげで、
同じようなことを二重に実装することになって世の中の複雑度が上がってるんじゃないか。
DNSSECが本格的な普及せずに終われば二重じゃなくてすむけど。
DDoS amplifier的に意味では、DNSSECはむしろ問題源となるプロトコルだし。
Re: (スコア:0)
だから誤発行の防止だって言ってるじゃん。最初から目的にもしていないMiTM防御の役に立たないとか言いがかりつけられても
Re: (スコア:0)
> だから誤発行の防止だって言ってるじゃん。
DNSSEC使ってない限り、誤発行の防止にさえ使えない。つまりDNSSEC必須な仕組み。
DNSSEC必須であれば、現行のSSL証明書の仕組みが屋上屋を重ねる感じでなんだかなあ。
って話なんだけど...?