論文の概要: Do CAA, CT, and DANE Interlink in Certificate Deployments? A Web PKI Measurement Study
- arxiv url: http://arxiv.org/abs/2407.02287v1
- Date: Tue, 2 Jul 2024 14:20:31 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-03 15:06:12.776189
- Title: Do CAA, CT, and DANE Interlink in Certificate Deployments? A Web PKI Measurement Study
- Title(参考訳): 認定デプロイにおけるCAA, CT, DANEインターリンクは有効か? : Web PKI測定による検討
- Authors: Pouyan Fotouhi Tehrani, Raphael Hiesgen, Teresa Lübeck, Thomas C. Schmidt, Matthias Wählisch,
- Abstract要約: 証明書の誤用や誤発行は、Web PKIセキュリティモデルを脅かす。
DNS/DNSSEC レコード CAA と TLSA と CT ログを,使用中の証明書の観点から検討した。
- 参考スコア(独自算出の注目度): 1.2233362977312945
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Integrity and trust on the web build on X.509 certificates. Misuse or misissuance of these certificates threaten the Web PKI security model, which led to the development of several guarding techniques. In this paper, we study the DNS/DNSSEC records CAA and TLSA as well as CT logs from the perspective of the certificates in use. Our measurements comprise 4 million popular domains, for which we explore the existence and consistency of the different extensions. Our findings indicate that CAA is almost exclusively deployed in the absence of DNSSEC, while DNSSEC protected service names tend to not use the DNS for guarding certificates. Even though mainly deployed in a formally correct way, CAA CA-strings tend to not selectively separate CAs, and numerous domains hold certificates beyond the CAA semantic. TLSA records are repeatedly poorly maintained and occasionally occur without DNSSEC.
- Abstract(参考訳): X.509証明書に基づくWeb上の統合性と信頼。
これらの証明書の誤用や誤発行は、Web PKIセキュリティモデルを脅かし、いくつかのガード技術の開発につながった。
本稿では, DNS/DNSSECレコードCAAとTLSAとCTログを, 使用する証明書の観点から検討する。
我々の測定は400万のポピュラードメインで構成されており、異なる拡張の存在と一貫性について検討する。
DNSSECが保護するサービス名は,証明書の保護にDNSを使用しない傾向にある。
主に正式な方法でデプロイされているが、CAA CA文字列は選択的にCAを分離しない傾向にあり、多くのドメインがCAAセマンティクス以上の証明書を持っている。
TLSAレコードは、DNSSECを使わずに頻繁にメンテナンスされ、時々発生する。
関連論文リスト
- A Call to Reconsider Certification Authority Authorization (CAA) [1.3124513975412255]
本稿では,CAAの概念や運用面での欠点が,証明書の誤発行を防ぐ効果を如何に損なうかを示す。
我々の議論は、DNSに基づいたセキュリティプロトコルを設計する際の落とし穴を明らかにし、ベストプラクティスを強調します。
論文 参考訳(メタデータ) (2024-11-12T10:35:59Z) - DNSSEC+: An Enhanced DNS Scheme Motivated by Benefits and Pitfalls of DNSSEC [1.8379423176822356]
DNSSECのセキュリティとデプロイ性に対処するDNSSEC+を紹介する。
DNSSEC+は、名前解決のために9つのセキュリティ、プライバシ、デプロイ性プロパティをどのように満たしているかを示す。
論文 参考訳(メタデータ) (2024-08-02T01:25:14Z) - The Harder You Try, The Harder You Fail: The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNSSEC [19.568025360483702]
我々は、DNSSECベースのアルゴリズムによる、DNSに対する新しいタイプの複雑性攻撃を開発し、KeyTrap攻撃をダブする。
1つのDNSパケットだけで、KeyTrap攻撃は脆弱性のあるDNSリゾルバのCPU数の2.0倍のスパイクを引き起こし、最大16時間停止する。
KeyTrapをエクスプロイトすることで、攻撃者はDNSSEC検証リゾルバを使用して、任意のシステムにおけるインターネットアクセスを効果的に無効にすることができる。
論文 参考訳(メタデータ) (2024-06-05T10:33:04Z) - Guardians of DNS Integrity: A Remote Method for Identifying DNSSEC Validators Across the Internet [0.9319432628663636]
本稿ではDNSSEC検証リゾルバを識別する新しい手法を提案する。
ほとんどのオープンリゾルバはDNSSEC対応であるが、IPv4の18%(IPv6の38%)は受信した応答を検証している。
論文 参考訳(メタデータ) (2024-05-30T08:58:18Z) - Adaptive Hierarchical Certification for Segmentation using Randomized Smoothing [87.48628403354351]
機械学習の認証は、特定の条件下では、敵対的なサンプルが特定の範囲内でモデルを回避できないことを証明している。
セグメンテーションの一般的な認証方法は、平らな粒度のクラスを使い、モデルの不確実性による高い断続率をもたらす。
本稿では,複数レベルの階層内で画素を認証し,不安定なコンポーネントに対して粗いレベルに適応的に認証を緩和する,新しい,より実用的な設定を提案する。
論文 参考訳(メタデータ) (2024-02-13T11:59:43Z) - PhishReplicant: A Language Model-based Approach to Detect Generated Squatting Domain Names [2.3999111269325266]
ドメインスクワット(Domain squatting)は、フィッシングサイトのドメイン名を作成するために攻撃者が使用するテクニックである。
本稿では、ドメイン名の言語的類似性に着目して、生成されたスクワットドメイン(GSD)を検出するPhishReplicantというシステムを提案する。
論文 参考訳(メタデータ) (2023-10-18T07:41:41Z) - Model Barrier: A Compact Un-Transferable Isolation Domain for Model
Intellectual Property Protection [52.08301776698373]
我々は、CUTIドメイン(Compact Un-TransferableIsolateion Domain)と呼ばれる新しいアプローチを提案する。
CUTIドメインは、権限のないドメインから権限のないドメインへの違法な転送を阻止する障壁として機能する。
CUTIドメインは,異なるバックボーンを持つプラグイン・アンド・プレイモジュールとして容易に実装可能であることを示す。
論文 参考訳(メタデータ) (2023-03-20T13:07:11Z) - ANCER: Anisotropic Certification via Sample-wise Volume Maximization [134.7866967491167]
本稿では,与えられたテストセットのサンプルに対して,ボリュームを介して異方性証明書を取得するためのフレームワークであるanceRを紹介する。
その結果,CERはCIFAR-10とImageNetの両方で複数の半径で精度を導入し,ボリュームの面ではかなり大きな領域を認証していることがわかった。
論文 参考訳(メタデータ) (2021-07-09T17:42:38Z) - Prototypical Cross-domain Self-supervised Learning for Few-shot
Unsupervised Domain Adaptation [91.58443042554903]
FUDA(Unsupervised Domain Adaptation)のためのPCS(Prototypical Cross-Domain Self-Supervised Learning)フレームワークを提案する。
PCSは、クロスドメインのローレベルな機能アライメントを行うだけでなく、ドメイン間の共有埋め込み空間におけるセマンティック構造をエンコードおよびアライメントする。
最新の手法と比較して、pcsは、fuda上の異なるドメインペアの平均分類精度を10.5%、office、office-home、visda-2017、domainnetで3.5%、9.0%、13.2%改善している。
論文 参考訳(メタデータ) (2021-03-31T02:07:42Z) - Breaking certified defenses: Semantic adversarial examples with spoofed
robustness certificates [57.52763961195292]
本稿では,分類器のラベル付け機能だけでなく,証明書生成機能を利用した新たな攻撃を提案する。
提案手法は, 画像がクラス境界から遠ざかる大きな摂動を, 対向例の不受容性を保ちながら適用する。
論文 参考訳(メタデータ) (2020-03-19T17:59:44Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。