DANE und DNSSEC

The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA

复用dnssec基础设施,发布 tls 的ca,而非通过传统的 ca chain

client 查 www.example.com 的时候可以顺便返回tlsa记录

_443._tcp.www.example.com. IN TLSA ( 0 0 1 xxxxxxxxxxxxxxx )

相当于信任锚点的转移,域名可以自行签发ca证书,重要的事情说三遍。。。

ssl proxy 型的中间人攻击没法用了,主要是在底层协议ca检查过不了。



Published

15 June 2015

Tags


Share On