<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On 28 August 2013 18:28, Matthew Wild <span dir="ltr"><<a href="mailto:mwild1@gmail.com" target="_blank">mwild1@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">> <a href="http://wiki.xmpp.org/web/Securing_XMPP" target="_blank">http://wiki.xmpp.org/web/Securing_XMPP</a><br>

<br>
</div>Only feedback so far: you might want to clarify the "single<br>
domain"/"multiple domain" thing - DANE is not a requirement for<br>
securely hosting multiple domains on a single server. I think that<br>
might confuse people.<br></blockquote><div><br></div><div>It's confusing me too. As I understand the current state of things:</div><div><br></div><div>If I lookup the SRV record for <a href="http://example.com">example.com</a>, connect to the server and the certificate matches <a href="http://servername.example.com">servername.example.com</a>, I can be pretty certain that I'm talking to the right server. </div>
<div><br></div><div>However, if <a href="http://example.com">example.com</a> returns a SRV record for <a href="http://server.xmpp-hosting.com">server.xmpp-hosting.com</a>, we're dealing with a different beast and DANE / POSHy things need to start happening to avoid DNS spoofing. (I'm assuming <a href="http://example.com">example.com</a>'s owner don't want to be lodging private certs with their XMPP vhosting provider).</div>
<div><br></div><div>- Is there any reason to worry about DANE stuff for a single domain XMPP setup?</div><div><br></div><div>- Is Prosody really the only server that supports DANE? <br></div><div><br></div><div>S.</div></div>
-- <br>Simon Tennant | <a href="http://buddycloud.com" target="_blank">buddycloud.com</a> | +49 17 8545 0880 | office hours: <a href="http://goo.gl/tQgxP" target="_blank">goo.gl/tQgxP</a>
</div></div>