2
เหตุใดจึงไม่ตรวจสอบใบรับรองที่ลงนามด้วยตนเองผ่านบันทึก DNS แทนที่จะเป็น letsencrypt
ฉันแค่สงสัย เราใช้ใบรับรอง SSL จำนวนมาก ทุกวันนี้เราเกือบจะใช้ letsencrypt (ขอบคุณ!) บรรทัดล่างสุดของใบรับรองเหล่านี้คือหลักฐานการเป็นเจ้าของชื่อโดเมนในใบรับรองนั้นมาจากอำนาจในการจัดการระเบียน DNS หรือเว็บไซต์ภายใต้โดเมนเหล่านี้ หลักฐาน DNS มาจากการเพิ่มคีย์ (ที่ได้รับจาก allowencrypt) เป็นระเบียน TXT ไปยัง DNS ดังนั้นหากมีหลักฐานเพียงพอที่จะสามารถเปลี่ยนระเบียน DNS สำหรับโดเมนทำไมไม่ใช้ใบรับรองที่ลงชื่อด้วยตนเองด้วยลายนิ้วมือใน DNS ฉันจะบอกว่าสิ่งนี้ให้ความเชื่อมั่นในปริมาณเท่ากันกับขั้นตอนการใช้ DNS ของ allowencrypt (และ CA อื่น ๆ ): สร้าง CA ที่เซ็นชื่อด้วยตนเอง (เพียงทำตามขั้นตอนของวิธีการต่างๆ) สร้างใบรับรองสำหรับบางโดเมน เซ็นชื่อใบรับรองจากขั้นตอนที่ 2 ด้วย CA จากขั้นตอนที่ 1 ตอนนี้คุณมีใบรับรองพื้นฐานที่ลงชื่อโดย CA ที่ไม่น่าเชื่อถือ เพิ่มระเบียน TXT (หรือเฉพาะ) ไปยัง …