计算机科学 > 密码学与安全
[提交于 2024年7月2日
]
标题: CAA、CT和DANE在证书部署中是否相互关联? 一个Web PKI测量研究
标题: Do CAA, CT, and DANE Interlink in Certificate Deployments? A Web PKI Measurement Study
摘要: 网站的信任和完整性依赖于 X.509 证书。这些证书的误用或错误发放威胁着 Web PKI 安全模型,从而促使了几种保护技术的发展。本文从正在使用的证书的角度研究了 DNS/DNSSEC 记录中的 CAA 和 TLSA 以及 CT 日志。我们的测量涵盖了 400 万个流行的域名,我们探索了不同扩展的存在性和一致性。我们的发现表明,CAA 几乎只在没有 DNSSEC 的情况下部署,而受 DNSSEC 保护的服务名称倾向于不使用 DNS 来保护证书。尽管大多数情况下正确部署,CAA 的 CA 字符串往往不能选择性地分离 CA,并且许多域持有超出 CAA 语义的证书。TLSA 记录经常维护不当,有时会在没有 DNSSEC 的情况下出现。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.