domain-name-system – 为什么我们不能使用DNS来分发SSL证书？

概述大多数低成本SSL证书提供商实际上只验证您是否控制了域名.对于那些类型的证书,而不是支付第三方来验证我控制域的DNS记录,为什么不在DNS中“签署”证书？如果我在服务器上生成密钥对并在DNS中为主机名发布相同的公钥,我认为这将是一个等同的安全级别. 我看到设计有两个问题,但两者都很小： > EA证书和验证个人/公司详细信息的更高级别证书无法通过这种方式完成.希望通过浏览器获得绿色标准的组织可以继续 大多数低成本SSL证书提供商实际上只验证您是否控制了域名.对于那些类型的证书,而不是支付第三方来验证我控制域的DNS记录,为什么不在DNS中“签署”证书？如果我在服务器上生成密钥对并在DNS中为主机名发布相同的公钥,我认为这将是一个等同的安全级别.

我看到设计有两个问题,但两者都很小：

> EA证书和验证个人/公司详细信息的更高级别证书无法通过这种方式完成.希望通过浏览器获得绿色标准的组织可以继续这样做.
>具有恶意DNS服务器的恶意网络可能会将您重定向到不同的主机名和不同的可信SSL证书.也许DNSSEC可以解决这个否认问题？

我不知道有任何浏览器实现这样的东西,但似乎这是一个很好的方法,至少得到一个可信的加密连接,而不显示可怕的“不受信任的证书”对话框.除了我上面提到的问题和现有的商业认证机构打击这个想法,还有其他原因这样做是个坏主意吗？

解决方法 已经完全可以在DNS记录中编码X.509证书 – 从 RFC 4398查看CERT记录类型.

它没有在愤怒中完成的主要原因是因为传输机制还不安全.今年晚些时候,当根区域获得DNSSEC签名并且越来越多的TLD支持DNSSEC时,这将发生巨大变化.

DNS查询大小(如其他地方所述)也是一个问题,尽管值得注意的是CERT RR还允许您简单地存储可以从中下载真实X.509证书的URL.在这一点上,有一些鸡和蛋的问题,但……

总结

以上是内存溢出为你收集整理的domain-name-system – 为什么我们不能使用DNS来分发SSL证书？全部内容，希望文章能够帮你解决domain-name-system – 为什么我们不能使用DNS来分发SSL证书？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。