Abuse Melding

Je hebt een klacht over de onderstaande posting:

02-10-2019, 11:40 door Anoniem

Een veel groter nadeel van DANE is dat het een kruislingse afhankelijkheid introduceert in je beheer. Als je het certificaat op een service vernieuwt moet je een DNS entry (een andere service) corresponderend aanpassen. Dat is hardstikke lastig, zeker als dat vernieuwen van certificaten automatisch gebeurt (letsencrypt!) en je DNS service geen specifieke API bevat die het toelaat om een DANE record te wijzigen en verder niks. Moet dat via een algemene API dan introduceer je weer extra risico's dat je DNS door een remote attack kan worden aangepast. Er zou een soort modus moeten zijn waarin de DNS service als een soort van proxy voor het valideren van het certificaat kan werken. Zodat die bij een DANE query via een of ander secure kanaal kan navragen wat op dit moment het geldige certificaat is, ipv van dat dat in de DNS service zelf moet worden vastgelegd.

Beschrijf je klacht (Optioneel):

captcha