comment va-ton gérer lorsque les données entre le DNS et l'AC seront contradictoires ?
De deux choses l’une :
a) L’enregistrement TLSA est de type PKIX-TA ou PKIX-EE, ce qui signifie que la chaîne de certification présentée par le serveur doit être validée à la fois par PKIX (c’est-à-dire les autorités de certifications présentes dans le magasin du navigateur) et par DANE. S’il y a discordance entre les deux (PKIX dit que le certificat est valide mais il ne correspond pas à aucun enregistrement TLSA, ou inversement le certificat correspond à un enregistrement TLSA mais n’est pas valide du point de vue de PKIX), alors la chaîne de certification n’est pas valide.
b) L’enregistrement TLSA est de type DANE-TA ou DANE-EE, ce qui signifie que seules les informations du DNS sont à prendre en compte. Peu importe que le certificat soit, du point de vue de PKIX, invalide (par exemple parce que signée par une CA inconnue du navigateur), s’il correspond à l’enregistrement TLSA, il est valide.
[^] # Re: DANE: on met pas toute sa sécurité dans un seul panier ??
Posté par gouttegd . En réponse à la dépêche Firefox 50 Cent. Évalué à 6.
De deux choses l’une :
a) L’enregistrement TLSA est de type PKIX-TA ou PKIX-EE, ce qui signifie que la chaîne de certification présentée par le serveur doit être validée à la fois par PKIX (c’est-à-dire les autorités de certifications présentes dans le magasin du navigateur) et par DANE. S’il y a discordance entre les deux (PKIX dit que le certificat est valide mais il ne correspond pas à aucun enregistrement TLSA, ou inversement le certificat correspond à un enregistrement TLSA mais n’est pas valide du point de vue de PKIX), alors la chaîne de certification n’est pas valide.
b) L’enregistrement TLSA est de type DANE-TA ou DANE-EE, ce qui signifie que seules les informations du DNS sont à prendre en compte. Peu importe que le certificat soit, du point de vue de PKIX, invalide (par exemple parce que signée par une CA inconnue du navigateur), s’il correspond à l’enregistrement TLSA, il est valide.