Bonjour
Je vois que le cab forum vient de décider de raccourcir encore les temps
de validité des certifs, et je m'interroge sur les conséquences d'une
telle mesure. Par exemple, sur le fait que ça me parait concentrer en
peu de mains un pouvoir très important, ce qui est quand même inquiétant
en terme de robustesse de l'internet en général. Avec une vérification
du domaine sur 10 jours, on peut commencer à se demander ce qui se
passerait dans le cas d'une attaque soutenue sur des infras de PKI.
D'où la question: a-t-il été déjà été proposé que la distribution de
certificats puissent dépendre de l'infrastructure DNSSEC ? Après tout,
une entreprise qui délivre un certificat dont elle aura vérifié que j'ai
bien les droits de le demander sur la foi d'un enregistrement CAA, elle
sert à quoi ? Pourquoi je ne pourrais pas émettre des certificats
sursignés par mon certificat de domaine ?
--
Thierry CHICH
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
