Názor k článku Věříte opravdu jen důvěryhodným certifikačním autoritám? od Marek Chlup - „Pokud bude existovat standard, jak pomocí záznamu v DNS...

„Pokud bude existovat standard, jak pomocí záznamu v DNS pro danou doménu např. zakázat všechny implicitně důvěryhodné certifikáty a povolit jen určitou CA,…“
Hmm, to je zajímavá myšlenka. Je přece logické, že provozovatel Webu ví u koho si nechal svůj klíč podepsat a hodně by se tím eliminovala možnost podvržení certifikátu.
„..nebo do DNS rovnou dát CA certifikát..“
To je velmi velmi zajímavá myšlenka – alespoň pro určité skupiny webů (například těch domácích či menších podnikových). Vlastně by to znamenalo, že dnešní certifikační autority by se staly u takových webů zbytečné. Člověk by si mohl vytvářet pro své weby certifikáty podepsané svoji CA. To, že tato CA je pro příslušné weby důvěryhodná by zajistilo DNSSEC. To je super – nyní mi začíná DNSSEC dávat smysl. Uff, dokonce by se tím dalo řešit mailování – servery by poštu podepisovali, že pochází z jejich domény a na druhé straně by se vědělo, že to opravdu pochází z domény z které se to tváří.