Il y a déjà une norme qui marche très bien, n'utilise pas les CA, est pensé pour s'assurer qu'il n'y a pas de MITM facilement :
DANE
On met les signatures (soit des CA, soit du certificat) correspondant au nom de domaine et protocole et port dans le DNS.
La sécurité/confiance de la chaine est assuré par DNSSEC.
ET voila : facile a gérer, à mettre à jour , et sur tous les protocoles.
Cette norme comment tranquillement sa vie entre autre sur les serveurs SMTP, ou avec l'extension TLSA/DANE de firefox, qui check à la fois le DNSSEC, et les records DANE.
# Et DANE simplement
Posté par briaeros007 . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 9.
Il y a déjà une norme qui marche très bien, n'utilise pas les CA, est pensé pour s'assurer qu'il n'y a pas de MITM facilement :
DANE
On met les signatures (soit des CA, soit du certificat) correspondant au nom de domaine et protocole et port dans le DNS.
La sécurité/confiance de la chaine est assuré par DNSSEC.
ET voila : facile a gérer, à mettre à jour , et sur tous les protocoles.
Cette norme comment tranquillement sa vie entre autre sur les serveurs SMTP, ou avec l'extension TLSA/DANE de firefox, qui check à la fois le DNSSEC, et les records DANE.
Que demande le peuple ?