ラベル root の投稿を表示しています。 すべての投稿を表示
ラベル root の投稿を表示しています。 すべての投稿を表示

2019/10/08

ベリサインのrootCA使ってるサイト見つけた

VeriSignはSSL事業撤退して、使えないROOTCAなのですが

この会社がSSL事業をしていた時に
VeriSign Class 3 Public Primary Certification Authority - G5
という名前でも展開していました。

Symantec Class 3 Secure Server CA - G4
というのも中間証明書としてありました。

実はサンプルまだ手に入ります。
何かのチャンスサイトですね
よくわかりませんけどもね…

こちらです

証明書が無効ですとなっているのが
逆に正常なサイトです…
なんか矛盾してんな…

アドレスの横に赤いマークが
でるので、そこから確認してみてください


2019/01/17

名前衝突(Name Collision)

昔は、特定の範囲でしか、ドメインを展開しないという事で
ICANNが断固として増やそうとしなかった

結果、各企業が使われていないTLDを社内で使うようになった
存在しないから使ってもいいと内部で使うのが人気になった

しかし、ICANNが収入の為に追加を許可したなら話は別
社内TLDとICANN認可TLDが被った場合通信が利かなくなる
という事で、一部のTLDが新規参加できない状態なのよね

これも、ICANNが甘すぎた結果こうなったのよね
オルタネートルートが大量増殖した時もあって一時期すごい混乱してた
登録しないなら俺がルートサーバになるという所が非常に多かった
(その当時WindowsServer試験機系では、ルートサーバにオルタネート
 に向けても自動修復で100%ダメプロテクトかかってたけどw)
現在だと新規TLDで大量に入ってきてるから、オルタネートはなくなったけどね

新規TLD登録開始したら、
ICANNがどうしても売ってほしくない名前に関しては
SLDブロックリストとしてリスト化しています
ドメインハイジャックに人気になる
とかはもうどこのTLDでも登録できません。

登録するのも、安売りの一年ネタ担当というよくわからん
時代に突入しました。。。


2019/01/16

ルートゾーンKSKロールオーバーで思うこと

DNSSECの心臓部で、更新しないとクラッカーにばれてしまう
かもしれん
というのはわかるんだけど

移行期間があるせいで無駄に、問い合わせ専門のDNSサーバに悪影響
なのよね
(フルリゾルバーとかキャッシュとかはそれ系)
ルートだから自分で信頼しないとDNSSECの意味がないというね
(これはルートSSL証明書も同じ)
新旧KSKが混在する時期があるから、その分、大きくなるのよね
受け取り情報量がね

DNSSECそのものが、
ルートサーバに、ルート公開鍵とルート秘密鍵があって
ルート公開鍵ってのを、公開だけに公開鍵を問い合わせ専門のDNSサーバ
に取得しておくのよね
(RFC5011で自動更新とかもある)

DNSレコードなんだから、ぽんぽん変更してしまってもいいだろうに…
(旧KSKなしでいきなり新KSK)