> проблема SSL именно в том что "корневые ауторити" -- ни как не
> связаны с доменной цепочкой.Проблема в том что есть вообще какая-то группа м...ков, которым предлагается доверять по умолчанию, при том что никаких внятных оснований к тому эдементарно нет. Они довольно беспринципные барыги, которые за бабло или под нажимом властей в два счета подпишут что угодно и кому угодно. Половина к тому же крайне деревянные в плане секурити. Потому что они деньги рубят, на сертифицированных решениях (tm). Потом приходит какой-нибудь comodohacker и выписывает себе сертификаты на гугли, мозиллы и прочие виндусапдейты. По принципу "Just because I can". И что характерно, его серты для всех выглядят как вполне валидные.
> именно это несоответствие -- и вызывает проблему.
До того как брякнуть ерунду - можно подумать головой.
> DANE и в целом DNSSEC -- явно улучшат ситуацию с SSL.
Мечтать не вредно. Еще два куска г-на под видом панацеи, лишние инструменты воздействия на лохов и хомяков со стороны штатов и тому подобных носителей и причинителей "добра". Плюс-минус парочка профанаций.
Ну и да, прикольно же если объевшийся белены регистрар отожмет у тебя не только доменное имя, но еще и сертификаты. И вообще сможет косить под тебя с 100% правдоподобностью.
> # P.S.: только не надо мне отвечать в стиле "DANE это не панация".
"Панация"? Ох, слушай, а давай ты сначала окончишь школу, потом прочтешь FAQ по криптографии, а потом начнешь свое мнение по теме иметь, а? Иначе очень уж ламерски все это выглядит. Сразу видно наивного чукотского^W юношу который совершенно не умеет думать головой, но свое мнение уже имеет.
> здесь мы говорим НЕ о серебрянной пуле, а о конкретных
> проблемах и о конкретных способах устранения этих проблем.
Я не вижу как упомянутые технологии помогут что-то улучшить кроме еще капельки власти у контор на которые довольно просто надавить или даже просто расхакать. Для начала - централизованный DNS в виде как есть сам по себе имеет массу проблем. Ща, погоди, роскомпозор тебе покажет каких именно :).