Je hebt een klacht over de onderstaande posting:
Zolang een domeinnaam niet ondertekend is met DNSSEC, kan een aanvaller nog steeds DNS-antwoorden spoofen. Op die manier kan de aanvaller (web-/mail-)verkeer omleiden en zelfs een vals certificaat aanvragen. Het CA/B Forum verplicht CA's om DNSSEC te valideren als er een CAA-record is. Kortom als je je domeinnaam met DNSSEC ondertekent én een CAA-record publiceert, dan kan een aanvaller niet zomaar een vals certificaat aanvragen via DNS-spoofing. Voorwaarde daarvoor is wel dat CA's zich houden aan de verplichte spelregels van CA/B Forum. Zie verder: https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/
Beschrijf je klacht (Optioneel):