Vlákno názorů k článku Revokace certifikátů je rozbitá. Opravit ji mají redukované CRL od turista - Nechápu, proč se vůbec nějaké certifikáty používají. Když...

Nechápu, proč se vůbec nějaké certifikáty používají. Když v nich bývalo (EV) verifikované jméno firmy, tak to ještě dávalo smysl. Ale dnes, když certifikační autority ověřují totožnost pouze přes DNS, stačí dát fingerprint public klíče přímo do DNS (do TLSA záznamu). A nepotřebuju ani tu certifikační autoritu. A nemám problém s nedostupností OCSP, protože pokud se mi rozbije DNS, tak nefunguje stejně nic.

Jenze na to potrebujete funkcni DNSSEC u zaznamu i klientu a to dnes bohuzel neni samozrejmost.

Když se na DNS bez DNSSEC spoléhají certifikační autority... Jediný rozdíl je v tom, že certifikační autority jsou k internetu snad připojeny relativně bezpečnou sítí (prohlížeč může být připojen přes něco, kde se podvržení DNS nedá vyloučit) a v lepším případě dělají před vystavením certifikátu validaci z více míst.

Nicméně je to opravdu postavené na hlavu. Technicky by DANE odvedlo stejnou službu, jako DV certifikáty. Údajně není zavedeno proto, že by to zpomalovalo úvodní navázání spojení - pak se ale řeší, že to zpomaluje OCSP nebo stahování velkých CRL. A když prohlížeče dokázaly (správně) prosadit používání TLS, mohly stejně tak prosadit používání DANE a DNSSEC. Podle mne jsou tam ve skutečnosti dva problémy - jednak by se tím oslabila pozice certifikačních autorit (kterou ale stejně oslabil Let's Encrypt), jednak se to celé vyřešilo na úrovni HTTP, takže prohlížeče a HTTP servery, což jsou party lidí, které spolu komunikují. Zatímco DANE by se muselo řešit s lidmi, kteří dělají DNS, a to je někdo jiný. (A to na všech úrovních - jak na úrovni standardů, na úrovni vývoje i na úrovni správců jednotlivých serverů).

Když se na DNS bez DNSSEC spoléhají certifikační autority
Ne, nespolehaji. CRL i OCSP jsou CA podepsane a podvrhnout se pres DNS nedaji.

Jestli to nebude tím, že OCSP ani CRL nemají s DNS nic společného... Zato když certifikační autorita ověřuje doménové jméno, dívá se do DNS na speciální TXT záznam, nebo si jméno přeloží pomocí DNS A/AAAA záznamu na webový server a hledá tam speciální soubor, nebo si přečte z DNS MX záznam a pošle tam e-mail s kódem. A to všechno dělá i tehdy, když daná doména není zabezpečena DNSSEC.