Názor k článku Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox od Filip Jirsák - Psal jsem, že by se hodilo <i>něco na...

Psal jsem, že by se hodilo <i>něco na způsobem</i> Certificate transparency.
Já jsem se ale neptal, proč píšete o certificate trasparency, ale proč píšete o certifikátech. To je také každé něco jiného.

Říkejme tomu třeba DNSSEC transparency.
To je geniální myšlenka. DNS záznamy by mohli být veřejné! Proč to ještě nikoho nenapadlo? Moment, ony vlastně jsou veřejné, od začátku, je to princip fungování DNS…

Tedy je neodstraníme (aspoň ne to zásadní – identitu), jen to přesuneme jinam.
Nepřesuneme, v DNS ta identita už dávno je, a používá se mimo jiné i pro to vystavování certifikátů.

V obou případech do toho bude zapojen i někdo jiný než vlastník domény, třeba provozovatelé DNS…
Provozovatel DNS nemusí mít privátní klíče od vaší domény, může dostat záznamy už podepsané. A nebo si DNS server můžete provozovat sám. Teoreticky může do nadřazené zóny její správce vložit k vaší doméně jiné veřejné klíče, jenže to zase snadno detekujete, protože si ten veřejný klíč prostě stáhnete a porovnáte ho s tím správným.

Přechodem na DNSSEC se důvěry ve třetí strany nezbavíme, jen si některé něci ulehčíme…
To ale neznamená, že je potřeba vymýšlet nějaké nové způsoby ochrany důvěry, protože DNS a DNSSEC v sobě potřebné prvky už mají. Např. veřejné je DNS už od začátku, je to princip, na kterém je postaveno, takže jsou zbytečné vaše spekulace nad tím, jak by se daly DNS záznamy udělat veřejné.

Jak často to musím kontrolovat?
Stejně často, jako kontrolujete CT.

Umí DNSSEC zabránit selektivnímu poskytnutí jiných informací jednomu subjektu? Například budu mít klíč k TLD, který zneužiju k MITM a následnému poskytnutí jiných klíčů vybrané části lidí.
To by byl dost velký průšvih. Řešením je mít domény v takových TLD, kde je riziko něčeho takového minimální. Případně si můžete vlastní veřejné klíče hlídat z různých částí internetu. Mimochodem, CT by vám v takovém případě také nepomohlo, pokud CT nekontrolujete velmi často a hlavně byste nedokázal rychle falešný certifikát revokovat.

Já předpokládám, že se útočník může snažit unášet i relevantní DNS servery, případně je vlastnit.
Jenže tenhle vektor útoku není žádná novinka, ten úplě stejně funguje i dnes, na dnešní systém certifikačních autorit. Jediný rozdíl je v tom, že certifikační autority možná ověřují údaje z DNS z více různých míst a z bezpečnějších, než průměrný uživatel, takže podvrhnout jim flešné DNS záznamy by mělo být obtížnější.

Vy zřejmě předpokládáte nenapadnuté a 100% důvěryhodné DNS, tím pak nějaké DNSSEC transparency smysl nedává.
Nikoli, já pouze vím to, že DNS je autoritativní zdroj informací, takže není žádná vyšší autorita, s čím byste mohl DNS záznamy porovnávat. A hlavně vím to, že záznamy v DNS jsou z principu veřejné, takže váš požadavek na jejich zveřejňování (transparentnost) je trošku s křížkem po funuse.