AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось AV>>>>> придумать аналогичный по надежности способ его доставки AV>>>>> каждому пользователю. VS>>>> Публикация сертификатов в DNS тебе не нравится? EG>>> В DNS тоже есть mitm. VS>> Как его осуществить в DNSSEC? Есть известные атаки?
EG> А что, DNSSEC-у не нужна изначальный источник доверия?
Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) ПО (операционные системы, резолверы и т.п.). Я почему и не говорю "это невозможно осуществить", я спрашиваю "как его осуществить?" К примеру, атакующий должен для этого подменить /var/unbound/root.key на моём компе или подменить бинарник unbound, насколько это легко сделать?
С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому DNS-серверу и сам не делает dnssec validation, то провайдер сделает со мной что хочет.
В связи с чем интересно, как обстоит дело с dnssec validation на планшетах, мобилах и т.п.