• cron@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    2
    ·
    1 year ago

    Die Idee war ja, die Fingerprints der Zertifikate im DNS abzulegen, und diese Einträge über DNSSEC zu signieren. Eine CA wäre nicht notwendig.

    Die Chain of Trust wäre im DNS System, irgendeine Art Trust wird immer erforderlich sein.

    • teichflamme@lemm.ee
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Sorry wenn ich jetzt auf dem Schlauch stehe.

      Deine Signatur der fingerprints im DNS führst du dann womit durch?

      Weil wenn die Antwort dann wieder ist mittels Zertifikat, dann hast du immer noch das Problem die Vertrauenswürdigkeit dieses Zertifikats nachzuweisen. Und da käme traditionell eine CA ins Spiel.

      • cron@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        Mit dem Signing Key von DNSSEC. Der wird von der übergeordneten Zone signiert (also für example.com wäre das der Betreiber von .com). Damit wären CA und DNS in einer Stelle zusammengefasst, separate CAs gäbe es nicht mehr.

        Aber die Sache ist ohnehin gestorben und das CA System bleibt auf absehbare Zeit erhalten.