Názor k článku Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat od hugochavez - @lojzak "Je trochu rozdíl, když CA jednou za X...

@lojzak
"Je trochu rozdíl, když CA jednou za X měsíců provede validaci a to navíc na relativně bezpečné lince a situací, kdy každý, kdo se připojuje přes HTTPS bude dávat požadavek na lokální DNS resolver přes potencionálně nebezpečnou síť."

CA zadnou validaci neprovadi, ani na zacatku ani po X mesicich... to je iluze.
Viz ty mraky pruseru CA co jsme za poslednich par let videli.....
Tady 1 aktualni https://arstechnica.com/security/2017/03/google-takes-symantec-to-the-woodshed-for-mis-issuing-30000-https-certs/
Tohle vypada ze ty certy vystavili kazdy hajzlbabe ktera sla okolo...........
To ze CA svuj "podpisovej vzor" prenasej (samozrejme ze nee zadarmo) na dalsi "duveryhodne autority" je uz jen vrchol celyho tohodle podvodu.

"Kdyby to bylo tak jednoduché, tak se DNSSEC validuje přímo na koncových zařízeních, ale ono to tak jednoduché není."

ono to JE jednoduche- staci si poridit poradnej router, a na nej nainstalovat Unbound +aktivovat DNSSEC a muzes si resolver provozovat sam doma (delam to tak uz roky).
To samy by zvladly i PC, telefony, tablety, TV atd ovsem to by vyrobce muselo neco tlacit aby to implementoval, aktualne je situace takova ze vyrobcum je bezpecnost+privacy uzivatelu u (_!_) protoze z toho nejsou zadny $ extra a "protoze to uzivatele nepoptavaj" ..... Uzivatele to samozrejme nepoptavaj protoze vubec netusi ze neco takovyho existuje a jejich obecne povedomi o bezpecnosti se limitne blizi nule.

"u každé banality okolo CA chytáš hysterický záchvat, jak je to nebezpečné, ale pak navrhneš, aby veškerá důvěra byla vložena do DNS, kde jsou naprosto nulové záruky bezpečnosti"

Zaruky rozhodne nejsou mensi nez ty, ze ti JAKAKOLIV SEBEPROHNILEJSI CA na svete muze vystavit JAKYKOLIV cert na jakoukoliv domenu.
Navic bezpecnost DNS uz BYLA davno vyresena, jen (opet) nic nikoho netlaci do toho aby to implementoval
viz. https://en.wikipedia.org/wiki/DNSCurve + https://en.wikipedia.org/wiki/DNSCrypt

PS: je soucasti lidske natury ze se veci zacnou resit AZ uz pruser dosahne megarozmeru, do ty doby se vesele zaplatuje pripadne se dela jakoby nic.
O tom ze se CA ve sve nenazranosti samy postaraji o svuj zanik jsem presvedcen- ceka se jen na ten poradnej megapruser...... :o)))