CAA-записи и пустой ящик
CAA-запись в DNS позволяет управлять тем, какие УЦ могут выпускать сертификаты для имён в соответствующей доменной зоне. Проще говоря, в DNS публикуется имя УЦ, которому разрешено выпускать сертификаты. Чьё имя не указано – тем выпускать нельзя. (Есть тонкости с Wildcard-именами и уведомлениями о попытках заказа сертификата.) Интересно, что отсутствие CAA-записи в зоне разрешает выпуск всем. А если в CAA для имён УЦ указать пустой список (“;”), то выпускать нельзя никому.
То есть, тут мы неожиданно, на практике, сталкиваемся с весьма важной особенностью из области теоретической математики вообще и математической логики в частности. Речь про логики и формальные системы разного уровня. Пустой ящик – имеет совсем другой смысл, чем отсутствие ящика. Отсутствие ящика – это отсутствие CAA-записи, которое отсутствие вовсе и не эквивалентно пустому значению CAA-записи. Ящик есть, но он пуст – это наличие CAA-записи, значение которой – пустое множество. В первом случае, пустое множество – это “количество” CAA-записей в зоне. Во втором случае – количество УЦ, имена которых указаны в CAA-записи. Пустое множество при этом одно и то же, но оно укладывается в разные, рекурсивные ящики. Так можно построить натуральные числа.
Конечно, в спецификации этот подход использован не с целью построения натуральных чисел, а всего лишь с целью сделать использование CAA мягким. Иначе без доступа к DNS вообще не получилось бы сертификаты заказывать у УЦ, которые следуют CAA-записям.
Адрес записки: https://dxdt.ru/2025/02/21/15063/
Похожие записки:
- Ссылки: Telegram и его защищённость
- Полностью зашифрованные протоколы в Интернете
- Онлайн-фильтрация URL в браузере Chrome
- Утечка DNS-запросов в ExpressVPN
- Мессенджер и удаление сообщений
- Философский аспект конструирования электронных часов
- Офтопик: антенны в английском языке
- "Скорость света" и "скорость радара"
- Метаинформация, мессенджеры и цепочки событий в трафике
- Вырезки древних виньеток и рыбы
- Скобки и минус девять в Google-таблице
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 2
1 <t> // 21st February 2025, 17:53 // Читатель fx135 написал:
Напиши про certificate transparency. Можно ли в прошивку телефона или в ос добавить сертификат или через биос? Если исполняемый файл браузера защещен от модификаций
2 <t> // 21st February 2025, 21:22 // Александр Венедюхин:
Про Certificate Transparency я вот тут написал, довольно подробно: https://tcinet.ru/press-centre/articles/7751/
Что касается добавления сертификатов УЦ, то эти сертификаты можно добавить и в ОС, и в прошивку, но эффект зависит от конкретного браузера: поддерживает браузер наборы сертификатов из ОС (и др.) или только те поддерживает, которые принёс с собой. В разных сочетаниях браузеров и платформ – работает по-разному.
Написать комментарий