







RFC 6698 - Jak wiemy (albo nie) aby nie dręczyć użytkowników pytaniami o prawidłowość certyfikatów trzeba albo dodać go do certyfikatów zaufanych albo upolować certyfikat podpisany przez jakąś trzecią firmę, która taki status posiada. Problemy z takim podejściem mogą być takie:
To od czego jest DANE (DNS-Based Authentication of Named Entities)? W sumie do 2 rzeczy. Po pierwsze dzięki DANE zbędne staje się używanie certyfikatów firm trzecich. Można sobie samemu wygenerować certyfikat i ustawić w DNSie jako certyfikat zaufany dla połączenia na danym porcie/protokole. Oraz - jeśli używamy z jakichś powodów zewnętrznego certyfikatu - poinformować klienta, że ten konkretny wydany nam certyfikat jest prawidłowy i że jeśli w połączeniu TLS znajdzie się jakiś inny - jest to niebezpieczne.
DANE (szczególnie z DNS-SEC) podnosi bezpieczeństwo połączeń TLS, zakładając że serwer ma wpisy DANE w DNS i klient obsługuje ten właśnie RFC. A WTW jest (chyba) pierwszym klientem, który ten protokół implementuje.
Leave a comment