Re: [HS General] Let's Encrypt

2014-11-21 14:28 GMT+01:00 Kuba Niewiarowski marsjaninzmarsa@gmail.com:

Popraw mnie, jeśli jestem w błędzie, ale wydaje mi się, że potwierdzenie własności domeny przez odpalenie programu gadającego spod tej domeny nie jest wcale mniej pewnym, niż przez odebranie maila wysłanego na admin@domena.pl.

Jak sprawdzą, że program jest odpalony gdzieś tam na tej domenie przez jej administratora, a nie dowolnego rozbójnika spoofującego pakiety? Albo na przykład przez dziurawy skrypt, lub czy ktoś nie zatruł DNS. Lub <wstaw jeszcze kilka ataków, o których nie pomyślałem>.

Serio, czysto "maszynowe" weryfikacje tożsamości są słabe. Już ten email lepszy, ale też kiepski, bo wrażliwy na te same ataki, przed którymi ma chronić taki certyfikat.