¿DNSSec y DANE serían más seguros si la misma clave se publicara en diferentes TLD?

0

Suponiendo que es difícil conseguir que muchos TLD propiedad del gobierno cooperen para falsificar DANE o DNSSec, ¿sería prudente publicar el mismo certificado (diferentes nombres de SAN) en varios TLD?

Por ejemplo:

  1. Company.com
  2. Company.cn
  3. CompanyAlias.ca
  4. AnotherAlias.co.uk

Si la especificación DANE o DNSSec se expandió para buscar algún tipo de política de validación multinacional, el cliente podría realizar una auto-consulta de esos 4 dominios y crear una versión distribuida simple de Convergence .

¿Esto proporcionaría un beneficio de seguridad?

¿Qué estoy pasando por alto?

    
pregunta random65537 02.02.2017 - 19:59
fuente

1 respuesta

1

Si su sitio web (por ejemplo) está en un TLD en el que no confía, entonces pueden suceder muchas cosas (como el registro podría cambiar el servidor de nombres de su dominio haciendo que su sitio web sea inalcanzable) incluso si el certificado TLS subyacente enumera muchas SAN (No estoy seguro de cómo una CA validaría dicho certificado, ya que tendría que obtener la prueba de propiedad de cada SAN por separado casi al mismo tiempo; pero tal vez esté pensando en el caso DANE en el que publica directamente el certificado sin más tarde en la necesidad de validación de CA).

Además, en todos los casos, aún depende de la clave raíz de DNS y de la administración / gobierno, por lo que si no confía en DNSSEC, tiene este punto que es imposible de eliminar.

    
respondido por el Patrick Mevzek 25.02.2017 - 19:40
fuente

Lea otras preguntas en las etiquetas