据我了解,DANE(RFC 6698)是解决当前 TLS 信任锚(即信任锚)问题的有前途的候选者。
我试图解释这个问题:
目前,CA 是通用信任锚,因此可以为任何站点颁发证书,而不管 TLD 或之前是否存在有效证书。DANE 会将这些信任锚移至具有严格公钥层次结构的 DNS 基础设施(例如“*”—>“*.com”—>“*.example.com”等)。
将信任绑定到 DNS 条目要求这些条目是安全的(例如,缓存中毒)。试图解决这个问题的提议标准是 DNSSEC ([RFC 5155][2])。鉴于当前 DNS 的问题似乎很多、有据可查,而且可能相当严重,因此向 DNSSEC 的转变并没有变得更快,这也让我感到惊讶。
我心中的阴谋论者想把责任归咎于 CA 业务,这与 DANE 的失败有着既得利益,但我相信还有更合理的解释。
基本上:如果有的话,是什么阻碍了这些 RFC 的进展/采用?