Vlákno názorů k článku Vyměnit 200 miliónů certifikátů za den? Let's Encrypt připravuje nejhorší scénář od Mintaka - Pěkné ale... Letsům fandím od začátku. Upgrade vypadá pěkně,...

Pěkné ale...

Letsům fandím od začátku. Upgrade vypadá pěkně, ale...
Je vhodné takovou klíčovou službu držet centralizovanou?

Nebylo vhodné začít se ohledně free certifikátů zabývat decentralizova­nějším modelem? Dovedu si představit spolupráci Letsů s národními NICy, případně i většími a důvěryhodnými registrátory / hostéry.

Opatrne s tým a vyjsť občas zo svojej bubliny. Nie všade je lokálny NIC otvorený a prispieva komunite. Niekde je to priamo boj :(

Decentralizovat, ano. Ale spíše než přesunovat k NIC, tak bych přesun spíše viděl směrem k DNS: DANE https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities.

na DANE jsem se těšil, nevím, proč ho velké společnosti ignorovali a zatím to na oživení nevypadá.

Aby DANE dávalo smysl, je potřeba mít nasazené DNSSEC. To ještě zdaleka není pravidlem. Navíc je pořád dost sítí, ve kterých validace DNSSEC nefunguje – tj. i když se o to pokusí koncové zařízení, místní resolver je rozbitý a nepředá správné záznamy. Dalším argumentem bylo to, že další DNS dotazy zpomalují dobu prvního načtení stránky.

Paradoxně by v tomhle mohlo pomoci DoH, protože tím se obejdou rozbité místní implementace DNS resolverů, je tam i prostor pro urychlení dotazování.