Je ne suis pas d'accord. Bien sûr, un gouvernement peut signer n'importe quoi pour son TLD mais, c'est limité à son TLD. Avec DANE, la Chine ne peut pas signer un certif pour google.com alors qu'elle le peut (et le fait) avec l'implémentation actuelle.
Donc la Chine pourra signer uniquement le .cn et les USA pourront signer la moitié du monde car ils contrôlent le .us et le 3/4 des domaines non-nationaux ( .com, .org, etc..)
Mais comme les USA sont une nation exemplaire qui jamais, au non, jamais n'autoriseront leur agence de renseignement, la NSA, à intercepter les communications privées des gens: Tout va bien, vous pouvez dormir tranquille braves gens...
Nan, nan je déconne: c'est la même merde.
DANE remplace un schéma cassé par un autre. Il ne règle pas absolument pas le problème des attaques MitM en cas d'authorité corrompues.
Il transforme juste un schéma cassé de certification à deux niveaux, en un schéma cassé de certifications à X niveaux.
[^] # Re: Et DANE simplement
Posté par Firwen (site web personnel) . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 0. Dernière modification le 20 avril 2015 à 15:53.
Donc la Chine pourra signer uniquement le .cn et les USA pourront signer la moitié du monde car ils contrôlent le .us et le 3/4 des domaines non-nationaux ( .com, .org, etc..)
Mais comme les USA sont une nation exemplaire qui jamais, au non, jamais n'autoriseront leur agence de renseignement, la NSA, à intercepter les communications privées des gens: Tout va bien, vous pouvez dormir tranquille braves gens...
Nan, nan je déconne: c'est la même merde.
DANE remplace un schéma cassé par un autre. Il ne règle pas absolument pas le problème des attaques MitM en cas d'authorité corrompues.
Il transforme juste un schéma cassé de certification à deux niveaux, en un schéma cassé de certifications à X niveaux.