• # Et DANE simplement

    Posté par . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 9.

    Il y a déjà une norme qui marche très bien, n'utilise pas les CA, est pensé pour s'assurer qu'il n'y a pas de MITM facilement :
    DANE
    On met les signatures (soit des CA, soit du certificat) correspondant au nom de domaine et protocole et port dans le DNS.
    La sécurité/confiance de la chaine est assuré par DNSSEC.

    ET voila : facile a gérer, à mettre à jour , et sur tous les protocoles.

    Cette norme comment tranquillement sa vie entre autre sur les serveurs SMTP, ou avec l'extension TLSA/DANE de firefox, qui check à la fois le DNSSEC, et les records DANE.

    Que demande le peuple ?