Servo: Admite la fijación de certificados a través de DANE

Teniendo en cuenta que los navegadores más establecidos rechazan esta función debido a la latencia de la consulta de DNS y debido a que DNSSEC utiliza el tipo de criptografía heredada que no es compatible con las CA normales, probablemente no sea una buena idea dedicar tiempo a esto en Servo.

Asignar a @avadacatavra para decidir si debemos perseguir esto.

Veo que mi comentario de 2015 ha recibido dos pulgares hacia abajo. Ayuda a considerar DNSSEC como un reemplazo del sistema de CA con prácticas criptográficas heredadas y con raíz e intermedios estructuralmente intachables.

Prácticas criptográficas heredadas: recuerde que DNSSEC tenía una raíz RSA de 1024 bits en un momento en que Mozilla había decidido desconfiar de las raíces RSA Web PKI de 1024 bits.

De vez en cuando, hay un "¡guau! ¿Cómo puede ser tan malo?" noticias sobre una CA en particular o sus delegados. Tomar medidas contra las violaciones de BR en Web PKI es difícil pero posible. En DNSSEC, si su TLD se comporta mal en términos de lo que firma, no hay remedio sin que todos bajo ese TLD cambien a un TLD diferente, lo cual es prohibitivamente disruptivo. Las autoridades en DNSSEC son incluso menos impugnables en caso de mal comportamiento que en Web PKI.

Además, no he visto ninguna actualización que refute el hallazgo de Chrome de que una parte sustancial de los usuarios del navegador están detrás de las cajas intermedias que eliminan las respuestas de DNS del tamaño de DNSSEC.

No hay consenso entre navegadores sobre las compensaciones con DANE, y no creo que esta sea una prioridad actual para Servo.

Podemos reabrir / revisar esto en el futuro si las cosas cambian en el ecosistema del navegador.