Perché le autorità di certificazione sono autorizzate a rilasciare certificati attendibili dai browser per qualsiasi nome di dominio?
Ciò non implica che un'autorità di certificazione radice dirottata possa rilasciare certificati falsi attendibili di cui ogni browser si fida. Questo non è molto sicuro dal punto di vista dell'utente finale.
Non sarebbe più sicuro che tu decida quali autorità di certificazione root sono consentite & si fidano di firmare i certificati per i record dei nomi di dominio, ad esempio tramite DNS SEC? Esempi DNS simili sono anche record SPF di posta in cui dici quali server di posta sono autorizzati a inviare posta dal tuo dominio.
Perché è progettato per fare in modo che tutta la CA radice emetta certificati per qualsiasi nome di dominio?