パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Let's Encrypt、証明書およそ300万件の強制失効処理を取りやめ」記事へのコメント

  • by Anonymous Coward

    「たぶん実害はないから放置しても問題ないだろう」(マーフィーの法則によると、得てしてそういう時に限って問題が含まれている)という不確かで属人的な判断を排除するための規則なのに、例外を認めるのは悪しき前例になりゃしませんかね。

    Symantecはそうやって「なあなあ」な態度を取っていたから証明書事業を手放す羽目になったわけですし、その教訓から生まれたCAAレコードでこういうことがあると、Let's Encryptの信用にもかかわるし、「どうせCAAレコードなんて設定しても無駄」という風潮が生まれかねない。

    • by Anonymous Coward

      CAAレコードにLet's Encryptを指定するのは正直無意味なような気はするけど。
      悪意を持った人はまずLet's Encryptを試すだろうし。

      • by Anonymous Coward

        ん? いや、今回問題になっているのは、CAAレコードにLet's Encryptを指定していたケースではなく、Let's Encrypt以外を指定していたケースですよね。
        ドメイン管理者としては、悪意を持った人がLet's Encryptを試しても証明書を発行できないようにしていたつもりが、実は可能になっていたという話。

        • by Anonymous Coward on 2020年03月09日 13時22分 (#3775619)

          ありがとうございます。
          >ドメイン管理者としては、悪意を持った人がLet's Encryptを試しても証明書を発行できないようにしていたつもりが、

          CAAレコードが正しく解釈されていれば、発行されなかったはず、ということですが、悪意を持った人はその証明書をどのようにしてサーバにインストールできるのでしょうか? 別のところで悪用とか可能ですか?

          親コメント
          • by Anonymous Coward

            中間者攻撃ができてしまうのでまずいです。

            • by Anonymous Coward

              なるほど。

              #3775532 [srad.jp]という話もあるようだし、DNSSECもいっしょにやらないと、CAAだけではあまり効果はなさそうですね。うーん、いろいろと設定が必要になるな。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...