this post was submitted on 03 Nov 2023
48 points (96.2% liked)
DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz
8872 readers
26 users here now
Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!
Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.
Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:
Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos
Auch hier gelten die Serverregeln von https://feddit.de !
Banner: SirSamuelVimes
founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Die Idee war ja, die Fingerprints der Zertifikate im DNS abzulegen, und diese Einträge über DNSSEC zu signieren. Eine CA wäre nicht notwendig.
Die Chain of Trust wäre im DNS System, irgendeine Art Trust wird immer erforderlich sein.
Sorry wenn ich jetzt auf dem Schlauch stehe.
Deine Signatur der fingerprints im DNS führst du dann womit durch?
Weil wenn die Antwort dann wieder ist mittels Zertifikat, dann hast du immer noch das Problem die Vertrauenswürdigkeit dieses Zertifikats nachzuweisen. Und da käme traditionell eine CA ins Spiel.
Mit dem Signing Key von DNSSEC. Der wird von der übergeordneten Zone signiert (also für example.com wäre das der Betreiber von .com). Damit wären CA und DNS in einer Stelle zusammengefasst, separate CAs gäbe es nicht mehr.
Aber die Sache ist ohnehin gestorben und das CA System bleibt auf absehbare Zeit erhalten.
Ah, verstehe. Danke für die Erklärung!