Kiedy czytam wpisy takie jak ten, ciężko mi nie odnieść wrażenia że są mocno sponsorowane. Wiadomo przecież że Langley głupi nie jest, a już na pewno mądrzejszy ode mnie. Tym bardziej dziwi jak pisze takie artykuły.
W skrócie, argumentuje że DANE dla HTTP nie ma sensu i że Chrome nie będzie go obsługiwało. (DANE w skrócie to z kolei umieszczenie fingerprinta certyfikatu w rekordzie DNS, co w połaczeniu z DNSSEC mogłoby zastąpić CA - przynajmniej tam, gdzie w tej chwili nie używa się SSL z powodów finansowych. Nie eliminuje głównych problemów CA, czyli centralizacji zaufania.)
Pierwsze z zastosowań, dodatkowa weryfikacja certyfikatu podpisanego przez CA, nie ma według Langleya sensu ponieważ według ich eksperymentów około 5% użytkowników internetu używa wadliwych resolverów, które nie umieją czytać rekordów TXT i w związku z tym nie mogłyby wyświetlać stron używających HTTPS. To jest ogólnie dobry argument, tylko że nie w ustach kogoś kto ogłasza zamiar wycofania certyfikatów podpisanych SHA-1 niecały miesiąc przed wypuszczeniem przeglądarki wyświetlającej ostrzeżenia przy takich certyfikatach. Jeśli używają logiki "wieziemy na czołgu kaganek oświaty psując po drodze pół internetu, a inni niech po nas posprzątają", dlaczego nie włączyć DANE i nie zmusić tych 5% do naprawienia swoich DNS-ów? Ale OK, ten argument jestem w stanie przyjąć.
Drugie, moim zdaniem ważniejsze zastosowanie, to publikowanie fingerprintów certyfikatów self-signed. Tutaj logika jest wyjątkowo pokrętna bo zasłania się szczegółami implementacyjnymi: że musieliby parsować rekordy poza sandboxem (kogo to obchodzi? niech sobie odpalą osobny proces, odbiorą mu wszystkie prawa i komunikują się z nim po IPC) oraz że obecnie DNSSEC używa 1024-bitowego RSA za którym nie przepadają. OK, pewnie że 1024 bity muszą powoli odejść do lamusa, ale przecież 1) prędzej czy później główne strefy DNSSEC zaczną używać dłuższych kluczy - dlaczego odwlekać adopcję DANE aż do wtedy? 2) teoretycznie-możliwe-do-złamania-w-niedalekiej-przyszłości klucze 1024-bitowe ciągle są lepsze od czystego tekstu który większość stron serwuje obecnie. Jest jeszcze argument o tym że Google bardzo chciałoby żeby Certificate Transparency spowodowało, że wszyscy na nowo zaufają CA.
DANE powoli staje się standardem dla serwerów SMTP, nie widzę powodu dla którego nie miałoby być używane również dla HTTP, i moim zdaniem sabotowanie tego typu przedsięwzięć to sabotowanie zdecentralizowanego internetu. Nie można też pominąć tego jak wielkim przemysłem są CA sprzedające iluzję bezpieczeństwa - można z dużym prawdopodobieństwem przyjąć że po wprowadzeniu DANE do przeglądarej ich rynek skurczyłby się jedynie do klientów którzy obecnie używają certyfikatów EV.