Vamos Criptografar: Por que o desafio do DNS está estático? [fechadas]

4

No meu entendimento, a verificação do LetsEncrypt DNS funciona configurando um registro TXT estático no DNS (basicamente apenas um nonce), que é então verificado pelos servidores LetsEncrypt.

Quando ouvi pela primeira vez, fiquei bastante animado e esperava algo mais sofisticado: uma chave pública é armazenada no DNS dos meus domínios. Então, para verificação, eu crio uma mensagem assinada e o servidor LetsEncrypt verifica se a assinatura é válida. Como a chave pública no DNS e na chave privada que possuo, isso prova que eu controle o domínio.

Descobrir que isso não funciona dessa forma foi um pouco decepcionante: requer interações manuais e até mesmo para renovar um novo registro TXT.

Existe uma razão técnica pela qual nenhuma abordagem de assinatura é usada? Se não, qual a razão pela qual o LetsEncrypt não o implementa?

    
por divB 03.06.2017 / 01:29

1 resposta

4

Eu acredito que o que você pensa acontece não é o que realmente acontece. Vamos Criptografar segue a versão atual do rascunho do ACME do Grupo de Trabalho IETF ACME . Nesse rascunho, na seção 8.5 ele exige o uso de uma string aleatória (fornecido no desafio) e a chave da conta como o primeiro passo na criação do valor do registro TXT.

A client responds to this challenge by constructing a key authorization from the “token” value provided in the challenge and the client’s account key. The client then computes the SHA-256 digest [FIPS180-4] of the key authorization.

A posse da chave da conta e o controle do DNS devem ser suficientes para comprovar o controle sobre o domínio e a conexão com a conta que solicita o certificado. A chave pública associada à conta não é exposta no DNS e é mantida por LE, enquanto a chave privada deve ser mantida em segurança no próprio servidor, como qualquer outro chave privada.

Então, suas perguntas finais, Existe uma razão técnica pela qual nenhuma abordagem de assinatura é usada? Se não, qual é a razão pela qual o LetsEncrypt não o implementa? parece ter perdido o ponto. Uma assinatura é usada.

    
por 03.06.2017 / 04:09