Názor k článku Záznam CAA spáruje doménu a autoritu, kontrolován bude od září od Petr M - Myslím, že u DNSSEC to vyjde nastejno. Pokud...

Myslím, že u DNSSEC to vyjde nastejno. Pokud si připnu k podepsanýmu DNS cert, který podepíše správce domény (klidně i self-signed), je to furt bezpečnější, než současný stav, kdy
1) Není podepsaná doména -> možnost jejího únosu
2) Při podstrčení jednoho souboru na správný místo dostane útočník od LE nálepku na hubu prohlížeče
3) CA dělíme na dvě skupiny - levný nedůvěryhodný a drahý nedůvěryhodný
4) Před zavedením téhle blbiny mohla libovolná CA vyblít komukoliv certbez mrknutí oka (a dál může, dokud to nepraskne) a hrozí za to jenom bububu tytyty.

Schválně, co na seznamu CA v článku, co validují, dělá WoSign a StartSSL? Ti přežili sou smrt?

A ještě jedna věc, když jsem dělal v korporátu, tak jsem potřeboval cert od VeriSign na poštu a VPN. Tož jsem vypsal dotazník na jejich webu, dal platný korporátní mail a cert si stáhnul. Jestli takhle (= patrně jenom podle "správné" IP adresy) dokážou ověřit, že já su já a ne kolega, tak to je mazec. Toliko k mojí důvěře v CA.