CAA-записи и пустой ящик
CAA-запись в DNS позволяет управлять тем, какие УЦ могут выпускать сертификаты для имён в соответствующей доменной зоне. Проще говоря, в DNS публикуется имя УЦ, которому разрешено выпускать сертификаты. Чьё имя не указано – тем выпускать нельзя. (Есть тонкости с Wildcard-именами и уведомлениями о попытках заказа сертификата.) Интересно, что отсутствие CAA-записи в зоне разрешает выпуск всем. А если в CAA для имён УЦ указать пустой список (“;”), то выпускать нельзя никому.
То есть, тут мы неожиданно, на практике, сталкиваемся с весьма важной особенностью из области теоретической математики вообще и математической логики в частности. Речь про логики и формальные системы разного уровня. Пустой ящик – имеет совсем другой смысл, чем отсутствие ящика. Отсутствие ящика – это отсутствие CAA-записи, которое отсутствие вовсе и не эквивалентно пустому значению CAA-записи. Ящик есть, но он пуст – это наличие CAA-записи, значение которой – пустое множество. В первом случае, пустое множество – это “количество” CAA-записей в зоне. Во втором случае – количество УЦ, имена которых указаны в CAA-записи. Пустое множество при этом одно и то же, но оно укладывается в разные, рекурсивные ящики. Так можно построить натуральные числа.
Конечно, в спецификации этот подход использован не с целью построения натуральных чисел, а всего лишь с целью сделать использование CAA мягким. Иначе без доступа к DNS вообще не получилось бы сертификаты заказывать у УЦ, которые следуют CAA-записям.
Адрес записки: https://dxdt.ru/2025/02/21/15063/
Похожие записки:
- Техническое: ошибки делегирования в DNS
- Техническое: добавление ключей в dnssec.pw
- Метаинформация, мессенджеры и цепочки событий в трафике
- Обобщение ИИ и "кнопки на пульте"
- Неравенство вычитания и языки программирования
- Замена смысла текстовых предложений
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- "Пасхалка" в экспериментальном сервере TLS
- Древние знаки цитирования "дипле"
- "Блокирующие" источники случайности в операционных системах
- Реплика: обновления панели управления RU-CENTER
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 2
1 <t> // 21st February 2025, 17:53 // Читатель fx135 написал:
Напиши про certificate transparency. Можно ли в прошивку телефона или в ос добавить сертификат или через биос? Если исполняемый файл браузера защещен от модификаций
2 <t> // 21st February 2025, 21:22 // Александр Венедюхин:
Про Certificate Transparency я вот тут написал, довольно подробно: https://tcinet.ru/press-centre/articles/7751/
Что касается добавления сертификатов УЦ, то эти сертификаты можно добавить и в ОС, и в прошивку, но эффект зависит от конкретного браузера: поддерживает браузер наборы сертификатов из ОС (и др.) или только те поддерживает, которые принёс с собой. В разных сочетаниях браузеров и платформ – работает по-разному.
Написать комментарий