Vlákno názorů k článku Konec EV certifikátů: prohlížeče je přestanou zvýrazňovat od kamui - Proč se pořád a pořád jede na infrastruktuře...

Proč se pořád a pořád jede na infrastruktuře certifikátů? Proč není tlak na zavedení DNSsec + DANE, čímž by se DV certifikáty staly v podstatě zbytečnými?

Politická a ekonomická záležitost. HTTPS certifikát je sice vidět čím dál méně, ale je vidět. Zákazníci za něj platí, ať už za certifikát, tak za služby spojené se zavedením, údržbou (práce admina apod.).

Proti tomu DNSsec a DANE jsou neviditelné. Stejně jako je zcela neviditelná obrovská díra v SMTP a opurtunistickém SMTPS šifrování. MTA-STS je už dnes možnost, ale kdo ji ve skutečnosti využívá? Skoro nikdo, protože to nikdo neocení. Zámeček v prohlížeči je "hmatatelný" (velké uvozovky!).

DNSsec + DANE také není všespásné, nejslabším a zároveň o to mocnějším místem se stane přístup do správy DNS. Viděl jste někdy v praxi, jak si zákazníci přístupy do DNS chrání? V malých firmách mají hesla všichni od "místního-IT-šťourala" až po účetní (aby si tam mohla stahovat faktury za údržbu domény a hosting).

3. 9. 2019, 08:07 editováno autorem komentáře

Pokud někdo může pozměnit obsah vašeho DNS, tak si snadno nechá vydat DV certifikát, třeba od LE. O takových útocích jsem už i četl.

Když se DANE standardizovalo, "prohlížeče" o to neměly zájem a zatím se nezdá že by nastal posun. Mně DANE dává smysl pro DV certifikáty, kde jde pouze o ověření vlastnictví doménového jména. Ale já osobně jsem z principu zaujatý...