• [^] # Re: DANE

    Posté par . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 2.

    Pas vraiment, avec le système actuel de TLS, si le DNS t’envoie au mauvaise endroit, le certificat ne sera pas valide (sauf problème de CA, mais c'est la CA le problème dans ce cas).

    Le DNS renvoie une adresse IP, le certificat lui valide le plus souvent un domaine.

    Si je contrôle le DNS, je peux très bien renvoyer l'IP d'un serveur que je maîtrise. Et comme j'ai quelques potes qui ont des CA, j'ai en ma possession un certificat tout aussi valide pour le même domaine.

    L'utilisateur n'y voit que du feu.