Se capisco correttamente, i record DNS di autorizzazione delle autorità di certificazione vengono utilizzati per specificare quali autorità di certificazione sono autorizzate a emettere certificati per un determinato dominio. Se quel record esiste e una CA non è elencata su di esso, tale CA deve rifiutarsi di emettere un certificato per il dominio.
Tuttavia, questo non sembra proteggere contro le vulnerabilità nella CA. Se un'autorità attendibile non implementa correttamente CAA o se le chiavi private di un'autorità vengono violate, CAA non aiuta.
La mia domanda è, perché i browser non controllano i record CAA? Se il certificato fornito non è stato emesso da una CA autorizzata nel record, allora considererebbe il certificato non valido. Ciò aumenterebbe notevolmente la sicurezza riducendo le CA di elenchi che devono essere considerate attendibili solo per quelle che il proprietario del sito web sceglie di considerare attendibili.
Capisco che HPKP sia utilizzato anche per evitare certificati errati. Tuttavia, funziona solo con HTTP e richiede di considerare attendibile il primo certificato ricevuto per un sito o di fidarsi di un elenco di precarichi di terze parti.
Quindi questo è qualcosa che i browser potrebbero implementare o mi manca qualcosa qui?