In che modo il protocollo DANE rende obsolete le autorità di certificazione?

1

In che modo l'autenticazione basata su DNS delle entità denominate ( DANE ) rende Autorità di certificazione (< a href="https://en.m.wikipedia.org/wiki/Certificate_authority"> CA ) obsoleto?

In altre parole: com'è tecnicamente possibile che DANE non abbia bisogno delle autorità di certificazione?

    
posta Bob Ortiz 22.02.2017 - 00:25
fonte

1 risposta

3

DANE rende possibile che ogni proprietario di un dominio pubblichi il suo certificato all'interno del DNS, cioè completamente gestito dal proprietario del dominio che è il proprietario del certificato. Ma, DANE ha bisogno di DNSSec perché altrimenti tali record potrebbero essere falsificati, il che costituirebbe un grosso problema con i certificati. Pertanto, mentre DANE non fa affidamento su una gerarchia di certificati per costruire una catena su una CA radice affidabile, si basa ancora su un concetto simile: una gerarchia di chiavi con chiavi radice attendibili.

La principale differenza con i certificati rilasciati dalla CA è che il proprietario del dominio può creare completamente tutti i certificati appartenenti al suo dominio stesso e inserirlo in questa gerarchia di chiavi affidabili. Revoca simile è più facile poiché la chiave deve essere semplicemente rimossa dal DNS. Ciò ovviamente richiede che il proprietario del dominio sia in grado di gestire i propri record DNS e che questi siano protetti con DNSSec.

    
risposta data 22.02.2017 - 11:02
fonte

Leggi altre domande sui tag