A quanto ho capito, DANE ( RFC 6698 ) è un candidato promettente per affrontare i problemi con gli attuali TLS Trust Anchors ( cioè Trust Ancore).
Il mio tentativo di spiegare il problema:
Attualmente, le CA sono ancore di affidabilità universale e, di conseguenza, sono autorizzati a rilasciare certificati per qualsiasi sito, indipendentemente dal TLD o dalla precedente esistenza di un certificato valido. DANE sposterebbe questi trust ancore all'infrastruttura DNS dove ci sarebbe una rigida gerarchia di chiavi pubbliche (ad esempio "*" - > "* .com" - > "* .example.com" ecc.).
Legare la fiducia alla voce DNS richiede che questi siano sicuri (dall'avvelenamento della cache, ad esempio). Lo standard proposto che tenta di risolvere questo problema è DNSSEC ( RFC 5155 ). Mi sorprende anche che il passaggio a DNSSEC non sia stato più rapido dato che gli attuali problemi con DNS sembrano essere numerosi, ben documentati e potenzialmente abbastanza seri.
Il teorico della cospirazione in me vuole incolpare il business della CA, che ha un interesse acquisito nel fallimento di DANE, ma sono sicuro che ci sono più spiegazioni razionali.
In sostanza: che cosa, se non altro, ostacola il progresso / l'adozione di questi RFC?