Názor k článku
Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS od Filip Jirsák - Pokud máte TTL 48 hodin, nemusí si klient...

Pokud máte TTL 48 hodin, nemusí si klient změny všimnout klidně dva dny. Přesto to ničemu nevadí.

Aktualizace desítek DNS záznamů najednou (když už byste ji tedy chtěl provádět) také není něco, co by mělo složit nějaký DNS server.

Jak už jsem psal, nikde není řečeno, že se nové technologie musí přizpůsobovat současným blbým řešením.Třeba daleko častější problém, než to, co popisujete, je nutnost ruční výměny certifikátů. Přesto má Let's Encrypt platnost certifikátů 90 dnů a bude se zkracovat – a podle návrhu u všech CA. Holt ti, kteří musí certifikáty měnit ručně, to buď nějak dokážou zautomatizovat, nebo to budou muset měnit ručně dost často…

Navíc i kdyby se přidala možnost poslat otisk klíče už s odpovědí na DNS HTTPS záznam, ještě dlouho budou prohlížeče podporovat situace, kdy v tom záznamu otisk klíče nebude. Ony budou prohlížeče dlouho počítat s tím, že žádný HTTPS záznam nemusí existovat. Zatím se vůbec nemluví o tom, že by někdy mohl být povinný. Vždyť teprve asi před měsícem se vůbec uživatelé začali s HTTPS DNS záznamy potkávat, když to začal Cloudflare nasazovat na své free služby. Takže máte spoustu let na to z těch minimálně tří nevhodných řešení alespoň jedno změnit.

Certifikační autorita v DNS může být moje vlastí autorita. Pokud by došlo ke kompromitaci koncových privátních klíčů, můžu vyměnit i ty klíče CA.