DNSSec e DANE sarebbero più sicuri se la stessa chiave fosse stata pubblicata su diversi TLD?

0

Supponendo che sia difficile far cooperare molti TLD governativi per falsificare DANE o DNSSec, sarebbe saggio pubblicare lo stesso certificato (diversi nomi SAN) su vari TLD?

Ad esempio:

  1. Company.com
  2. Company.cn
  3. CompanyAlias.ca
  4. AnotherAlias.co.uk

Se la specifica DANE o DNSSec è stata espansa per cercare una sorta di politica di convalida multinazionale, il client può interrogare automaticamente quei 4 domini e creare una versione distribuita semplice di convergenza .

Questo fornirebbe un vantaggio per la sicurezza?

Che cosa sto trascurando?

    
posta random65537 02.02.2017 - 19:59
fonte

1 risposta

1

Se il tuo sito web (ad esempio) si trova su un TLD di cui non ti fidi, possono accadere molte cose (come il registro potrebbe modificare il server dei nomi del tuo dominio rendendo il tuo sito Web irraggiungibile) anche se il certificato TLS sottostante elencerebbe molte SAN (Non sono sicuro di come una CA possa convalidare un tale certificato, dal momento che dovrebbe ottenere una prova di proprietà per ogni SAN separata nello stesso momento, ma forse stai pensando al caso DANE in cui pubblichi direttamente il certificato senza in seguito richiede la convalida della CA).

Inoltre, in tutti i casi, continui a dipendere dalla chiave radice DNS e dalla gestione / governance, quindi se non ti fidi di DNSSEC, hai questo punto che è impossibile rimuovere.

    
risposta data 25.02.2017 - 19:40
fonte

Leggi altre domande sui tag