Autenticação baseada em DNS de entidades nomeadas .
Isso pode exigir que você tenha nosso próprio resolvedor DNSSEC.
kmcallister
Todos 4 comentários
Considerando que navegadores mais estabelecidos estão rejeitando esse recurso devido à latência de consulta ao DNS e ao DNSSEC usando o tipo de criptografia legada que não é compatível com CAs normais, provavelmente não é uma boa ideia gastar tempo com isso no Servo.
hsivonen
em 28 mai. 2015
Atribuindo a @avadacatavra para decidir se devemos prosseguir.
nox
em 8 abr. 2017
Vejo que meu comentário de 2015 teve dois polegares para baixo. Isso ajuda a considerar o DNSSEC como um substituto do sistema CA com práticas de criptografia legadas e com raiz e intermediários estruturalmente irrepreensíveis.
Práticas de criptografia legadas: Lembre-se de que o DNSSEC tinha uma raiz RSA de 1024 bits em um momento em que a Mozilla decidiu desconfiar das raízes RSA Web PKI de 1024 bits.
De vez em quando, há "uau! Como pode ser tão ruim?" notícias sobre um determinado CA ou seus delegados. Tomar medidas contra violações de BR em PKI da Web é difícil, mas possível. No DNSSEC, se o seu TLD se comportar mal em termos do que indica, não há solução sem que todos sob esse TLD mudem para um TLD diferente, o que é proibitivamente perturbador. As autoridades em DNSSEC são ainda menos contestáveis em caso de mau comportamento do que em Web PKI.
Além disso, não vi nenhuma atualização refutando a descoberta do Chrome de que uma parte substancial dos usuários de navegadores está atrás de middleboxes que descartam respostas DNS do tamanho de DNSSEC.
hsivonen
em 9 abr. 2017
Não há consenso entre navegadores sobre as compensações com DANE, e eu não acho que esta seja uma prioridade atual para Servo.
Podemos reabrir / revisitar isso no futuro se as coisas mudarem no ecossistema do navegador.
avadacatavra
em 19 abr. 2017
Questões relacionadas
noisiak
·
3Comentários
CYBAI
·
4Comentários
CYBAI
·
4Comentários
jdm
·
3Comentários
ayelen912
·
3Comentários