Totalni kraviny to nebyly. Pokud vim tak i "j" psal, ze DANE+DNSSEC by byl mensi pruser nez mame ted. A po pravde receno, bud chci overeni na urovni domeny, a verim, ze ta domena neni hacknuta. Tady vadi DV certifikaty tim, ze pridavaji do retezce dalsi clanek, ktery to muze tak akorat zvorat. Ono navic s DNSSEC+DANE by mohly fungovat i lokalni certifikaty pro spravu ruznych sitovych zarizeni. J pak navrhoval, aby se prohlizec spojil i na stare ssl, nebo vadne certifikaty, pokud to uzivatel chce, a jednim dechem dodaval, ze uzivatel to chce v 99% pripadu. V tom uz s nim nesouhlasim plne, ale rozhodne je soucasne chovani zbytecne otravne a pouze uci uzivatele odklikavat dialogy bez cteni, nebo je pripadne upne nasere, protoze se odmitne spojit uplne.
Souhlasím, že bude méně certifikačních autorit. Ale spíš si myslím, že bude větší zájem o EV/OV než dnes. Těžko říct, jak to bude s cenou a kvalitou – je možné, že nízkonákladovky, na které je už teď tlak kvůli LE a v případě zavedení DANE se ještě zvětší, se budou snažit dostat do segmentu OV/EV. Bude záležet hlavně na distributorech certifikátů (tedy především prohlížeče), zda budou schopni vyžadovat a kontrolovat kvalitu. Zatím to vypadá mírně nadějně, protože to vypadá, že mají odvahu CA opravdu trestat – tj. nezasahují jen proti podezřelým certifikátům, ale omezují i ty, u kterých se o žádném problému neví.