Názor k článku Čínský WoSign vydal certifikáty pro GitHub běžnému uživateli od Filip Jirsák - Vario: Zdá se, že stále nechápete, že ten,...

Vario: Zdá se, že stále nechápete, že ten, kdo může manipulovat s DNSSEC, může manipulovat i s libovolným jiným DNS záznamem. Tudíž si může teď hned nechat vystavit DV certifikát na libovolnou doménu, která je ve stromu pod ním. Certifikační autorita s tím neudělá vůbec nic – může to ověřovat kolikrát chce, může to ověřovat u správce registru telefonicky, může dojít ředitel CA za ředitelem registru osobně, aby se přeptal, jak to tedy je s danou doménou, a vždycky dostane potvrzení, že ty údaje o doméně jsou správné. Protože registrátor ty domény definuje, on určuje co je správně a co špatně, on rozhoduje.

But Libya has no authority over BIT.LY’s TLS certificates.
Ale nic jí nebrání vložit do DNS takové záznamy, že libovolné certifikační autoritě nezbyde nic jiného, než Libyi TLS certifikáty na jméno bit.ly vydat.

Until we adopt DNSSEC and DANE.
To je zavádějící tvrzení, a to je ještě mírně řečeno. Zavedením DNSSEC a DANE Libye nezíská žádnou kontrolu nad nad privátními klíči k certifikátům bit.ly. Bude mít pořád stejnou možnost, jako má dnes, tedy zfalšovat DNS záznamy a nechat si vydat od libovolné autority nový certifikát ke svému privátnímu klíči. A nově bude mít možnost zfalšovat DNS záznamy jiným způsobem a vložit svůj (třeba self-signed) certifikát do DANE. To ale není nic principiálně nového, akorát to půjde Libyi o něco rychleji, protože při tom falšování může vynechat chudáka certifikační autoritu, která teď ručí za něco, co nemůže nijak ovlivnit. A nikdo neříká, že certifikát v DANE musím považovat za zjevené slovo boží, pořád ho můžu kontrolovat přes HPKP, klidně můžu dál důvěřovat jenom certifikátům důvěryhodných certifikačních autorit a DANE používat jako další stupeň zabezpečení.

Ostatně taková je doufejme budoucnost HTTPS – nesmyslné DV certifikáty zaniknou, místo toho budou certifikáty v DANE, a u důležitých webů budou ty certifikáty vystavené na jméno organizace certifikační autoritou. Tím, že nebudou existovat DV certifikáty, se zároveň podstatně zredukuje množství certifikačních autorit.