DNSSEC和IP地址证书是否足够？

Question

使用DNSSEC，您可以确保对域拥有正确的IP，并使用由您信任的人签名的证书，您知道您拥有正确的IP。

这难道不足以知道这种联系是正确的吗？为什么服务器使用的证书中需要域名？

Answer 1

你问题的措辞意味着，这在某种程度上比我们现在拥有的要容易一些，但事实恰恰相反。

首先，当前实现的DNS是严格分层的。这就限制了DNS记录的签名方式，因为您需要将每个区域信任回根，这样才不会被替换。这与向任何第三方证明所有权(或至少是控制权)的能力有很大不同，就像域证书一样。

第二，IP地址分配非常复杂，而且往往是动态的。IP地址所有权证书需要很短的生存期，并且可以在短时间内获得。还有一个问题是，如何向认证机构证明所有权的确切意义。

假设这些困难被克服了，你仍然有两个签名系统，而不是我们现在的一个。虽然更安全的DNS将有利于颁发证书，但最终用户检查我们当前系统中的连接并不需要它。如果DNS记录是伪造的，它将指向没有被请求域的有效证书的服务器，因此连接将被拒绝。

Answer 2

域名是一种与IP地址不同的寻址方案:同一域名可能有多个IP地址，同一IP地址上也可能有多个域。而且这些域也可以提供不同的内容，即使它们具有相同的IP地址(至少使用HTTPS)。

只有当IP和域名之间存在1:1的关系时，您才可以用另一个替换其中一个，即通过查找IP地址连接到某个域，然后检查IP地址是否包含在证书中，而不是查找域名。但是，如果这是1:1的映射，那么普通的DNS和DNSSec都不会为您提供信息。即使在查找域时只获得一个IP地址，在查找其他域时仍然可能获得相同的IP地址。

因此，您必须检查证书的主题/SAN与您的原始期望(域名)，而不是一些派生的期望(IP地址)。