Názor k článku Doména .CZ spouští jako první automatickou správu DNSSEC klíčů od Ondřej Caletka - Problém je v tom, že to riziko je...

Problém je v tom, že to riziko je nenulové.

Každé riziko je nenulové. U postupu podle RFC 8078 asi dosud nemohou existovat žádná data o incidentech, takže můžeme jen míru rizika jen odhadovat.

> třeba hacknutím registrátora
To je doufám nesrovnatelně menší riziko.

Naopak, hacknutí registrátorů je jev, ke kterému dochází relativně často, minimálně v jednotkách případů ročně. Čas od času takový incident dokonce vyplave na povrch.

Výrazně? Dotazovat se DNS přes TCP mohou certifikační autority klidně už teď, posílat notifikační e-mail na hostmastera také, a sedmidenní opakované dotazování by nebyl problém zavést. Certifikační autority naopak používají dotazování z více míst.

Myslím, že speciálně ta sedmidenní lhůta by byl velký problém. Dotazování z více míst přinejmenším Let's Encrypt, coby největší DV CA, nedělá, notifikační e-maily taky neposílá, zatímco CZ.NIC ano.

Řekl bych, že obojí brání spíše náhodným únosům domény, ale útočníka, který by měl tu doménu jako cíl, to nezastaví.

Útočník, který bude mít doménu jako cíl, může klidně zfalšovat ověřený podpis a předelegovat doménu jedním dopisem do CZ.NIC. Je to možná ještě jednodušší, než zkoumat, odkud CZ.NIC zkoumá CDNSKEY záznamy a snažit se unést IP provoz.