有了DNSSEC，DANE对CA颁发的证书有什么好处吗？

Question

我刚刚在val-id.com和getvalid.com部署了DNSSEC

因为DNSSEC是DANE的一个要求，而且我有一个基于CA的证书，我可以通过将基于CA的证书发布到DNS中来显示我对基于DANE的部署的支持吗？

我担心的是客户的一致性。如果对DNS和受损的根进行攻击，每个客户端将如何响应？

Answer 1

好的，DANE可以与公钥钉扎‘( HPKP )一起保护当前用户免受恶意使用(即使DANE记录更改，浏览器仍然会记住HPKP报头并无法连接)。这并不能保护新的连接。但由于HPKP的寿命至少为1个月，它为您的“堆栈”增加了合理的安全性。

Answer 2

由于DNSSec是DANE的要求，而且我有一个基于CA的证书，我可以通过将基于CA的证书发布到DNS中来显示我对基于DANE的部署的支持吗？

当然了!证书的DANE记录可用于指示正确的证书，以防止MiTM攻击的成功。

如果对DNS和受损的根进行攻击，每个客户端将如何响应？

我将假设，所谓妥协的根，您指的是服务器和根DNS服务器的证书被破坏。不幸的是，在这种情况下，没有解决办法。DNSSEC不会有帮助，但它也不会妨碍您的网站。幸运的是，这种情况极不可能发生。