No, DNSSEC simply moves the trust problem around a bit, but there’s no fundamentally different answer to the question of “who do I trust to verify who someone is on the internet”.
The CA system is terrible, but I’m not aware of any system thats a.) technically “better” by some relevant measure and b.) still sufficiently convenient (a technically perfect system that no one can use correctly is still pointless).
There’s several steps to make the CA system less terrible with things like certificate transparency logs, but those really only help to find out if a CA was abused, not really to avoid it. It’s an improvement, but it’s of the “we can kick out untrustworthy/incompetent CAs after they abused their power/messed up their security” kind and not of the “this prevents abuses of CA power” kind.
Deine Signatur der fingerprints im DNS führst du dann womit durch?
Weil wenn die Antwort dann wieder ist mittels Zertifikat, dann hast du immer noch das Problem die Vertrauenswürdigkeit dieses Zertifikats nachzuweisen. Und da käme traditionell eine CA ins Spiel.
Mit dem Signing Key von DNSSEC. Der wird von der übergeordneten Zone signiert (also für example.com wäre das der Betreiber von .com). Damit wären CA und DNS in einer Stelle zusammengefasst, separate CAs gäbe es nicht mehr.
Aber die Sache ist ohnehin gestorben und das CA System bleibt auf absehbare Zeit erhalten.
DNSSEC löst aber nicht das Problem der CA,oder?
Die Signatur im Record erfolgt mit einem Zertifikat und dieses wird ja auch ausgestellt von einer CA. Irgendwo muss die Chain of Trust eben starten.
No, DNSSEC simply moves the trust problem around a bit, but there’s no fundamentally different answer to the question of “who do I trust to verify who someone is on the internet”.
The CA system is terrible, but I’m not aware of any system thats a.) technically “better” by some relevant measure and b.) still sufficiently convenient (a technically perfect system that no one can use correctly is still pointless).
There’s several steps to make the CA system less terrible with things like certificate transparency logs, but those really only help to find out if a CA was abused, not really to avoid it. It’s an improvement, but it’s of the “we can kick out untrustworthy/incompetent CAs after they abused their power/messed up their security” kind and not of the “this prevents abuses of CA power” kind.
Die Idee war ja, die Fingerprints der Zertifikate im DNS abzulegen, und diese Einträge über DNSSEC zu signieren. Eine CA wäre nicht notwendig.
Die Chain of Trust wäre im DNS System, irgendeine Art Trust wird immer erforderlich sein.
Sorry wenn ich jetzt auf dem Schlauch stehe.
Deine Signatur der fingerprints im DNS führst du dann womit durch?
Weil wenn die Antwort dann wieder ist mittels Zertifikat, dann hast du immer noch das Problem die Vertrauenswürdigkeit dieses Zertifikats nachzuweisen. Und da käme traditionell eine CA ins Spiel.
Mit dem Signing Key von DNSSEC. Der wird von der übergeordneten Zone signiert (also für example.com wäre das der Betreiber von .com). Damit wären CA und DNS in einer Stelle zusammengefasst, separate CAs gäbe es nicht mehr.
Aber die Sache ist ohnehin gestorben und das CA System bleibt auf absehbare Zeit erhalten.
Ah, verstehe. Danke für die Erklärung!