¿ZSK no autorizadas por TLS?

1

Bajo DANE , la cadena digital de confianza se va (aproximadamente):

  • [ Visibilidad pública de la ceremonia para la generación del]
  • Clave de la zona raíz de la ICANN , que
  • algo que involucra a las autoridades y registradores de TLD, que culmina con la validación de
  • Registro de DS que enumera el dominio autorizado
  • KSK , [que puede certificar otra,
  • KSK intermedios ,] que certifican / autorizan
  • ZSK s, que se utilizan para producir
  • RRSIG s en el
  • Registros TLSA que contienen la huella digital de
  • Clave TLS que el servidor (certifica • claves efímeras con; que luego) utiliza para cifrar las comunicaciones.

Ahora, normalmente, (es decir, antes del DANE), si su servidor DNS principal es secuestrado, esto todavía no es (aún) un "juego terminado" no calificado, en lo que respecta a SSL: ya que todavía hay el problema (asumiendo que HSTS) de obtener un certificado que coincida con el dominio (y dado OCSP, CAA, etc., esto es afortunadamente al menos un poco trivial.)

Sin embargo, para un navegador u otro cliente que implementa DANE para una autenticación positiva (es decir, en ausencia de una secuencia de certificado x509 anclada por una autoridad confiable), esto no significa que ningún acceso para publicar nuevos registros DNS ¿Destruye instantáneamente no solo el acceso a, sino la autenticidad de todos los servidores afectados?

Entonces, lo que pregunto es si hay una manera de definir ZSK que NO tengan la autoridad para generar RRSIG para los registros de TLSA .

Me gustaría mantener todo lo que sea capaz de certificar directamente nuevos certificados TLS (claves de firma de TLSA, claves privadas de CA intermedias, etc.) en almacenamiento en frío y hacer todas las emisiones / renovaciones en una manera fuera de línea / sin aire; aunque es muy probable que deba encargar actualizaciones más frecuentes a los registros A / AAAA / SRV / TXT / otros.

¿O me quedo con tener que asegurar una infraestructura de actualización de DDNS simple como si todos los dominios HTTPS directa e inmediatamente dependieran de ella?

    
pregunta JamesTheAwesomeDude 01.12.2018 - 00:30
fuente

0 respuestas

Lea otras preguntas en las etiquetas