Názor k článku
Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS od Filip Jirsák - Smysl bude mít přidání otisku veřejného klíče do...

Smysl bude mít přidání otisku veřejného klíče do HTTPS DNS záznamu (což by u prohlížečů mohlo projít, padnou všechny výhrady proti DANE). Pak bude možné DV certifikáty od certifikačních autorit zrušit (a tím napravit historický omyl), používat self-signed certifikáty a od CA si případně nechat vystavovat OV certifikáty. V DNS ten certifikát půjde zneplatnit v řádu minut či hodin, podle nastavení DNS.

Seznamy revokovaných certifikátů jsou pro prohlížeče nepraktické, protože udržovat ve všech prohlížečích kompletní seznam všech odvolaných certifikátů není moc efektivní. Online se dotazovat na platnost certifikátu znamená prozrazovat, kdo se na jaký web dívá. A řešit to přikládáním OCSP potvrzení ke certifikátu ze strany serveru se Let's Encrypt nějak nechce, a vzhledem k tomu, že vydávají zdaleka nejvíc TLS certifikátů, bude to tak, jak se rozhodnou. Upřímně se jim moc nedivím, že se jim do toho nechce, protože pak se z té CA stává single point of failure – stačí tu CA odstavit na hodinu a velká část webu bude nedostupná.