On 2016-01-03, sergio wrote: > On 02/01/16 14:30, Oleksandr Gavenko wrote: > >> Что бы Вы порекомендовали? > > Посмотреть на DANE/TLSA + DNSSEC.
Мой DNS регистратор https://www.mindsandmachines.com/ не предоставляет услуги DNSSEC: $ whois defun.work ... DNSSEC: unsigned По крайней мере гугление и WEB-интерфейс админки - ничего не сказал. > На debian.org работает. $ whois google.com ... DNSSEC: unsigned Печально... Далее изучение: https://wiki.archlinux.org/index.php/DNSSEC говорит что существующий софт нужно патчить. Патчи не интегрированы никуда из серверных продуктов. На клиентах всем тоже пофиг: https://wiki.mozilla.org/Security/DNSSEC-TLS-details https://addons.mozilla.org/uk/firefox/addon/dnssec-validator/ Т.е. типичные браузеры будут кричать что сертификат неизвестный. ================================================================ Итого - технология отдаленного будущего. В детали DANE + DNSSEC туго вьезжать. Но идея - что регистратор подтверждает подписью правильность DNS записи (DNSSEC) - правильна. По https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities DANE enables the administrator of a domain name to certify the keys used in that domain's TLS clients or servers by storing them in the Domain Name System (DNS). звучит превосходно. Деньги за разрешение DNS записей - плачу. Они уже обеспечивают безопасность данных, распростроняют контент по запросам и им доверяют клиенты (браузеры). Почему бы им не подписывать мой открытый ключь и не распространять сертификат? Понятно что бизнес торговцем воздуха (и тех кого они подпитывают, например Mozilla Foundation) пострадает. -- http://defun.work/
