Servo: Prise en charge de l'épinglage de certificats via DANE

Étant donné que les navigateurs plus établis rejettent cette fonctionnalité en raison de la latence des requêtes DNS et du fait que DNSSEC utilise le type de crypto hérité qui n'est pas pris en charge par les autorités de certification normales, ce n'est probablement pas une bonne idée de passer du temps là-dessus dans Servo.

Attribuer à @avadacatavra pour décider si nous devons poursuivre cela.

Je vois que mon commentaire de 2015 a reçu deux pouces vers le bas. Il est utile de considérer DNSSEC comme un remplacement du système CA avec des pratiques de cryptographie héritées et avec une racine et des intermédiaires structurellement irréprochables.

Pratiques de cryptographie héritées : rappelez-vous que DNSSEC avait une racine RSA 1024 bits à un moment où Mozilla avait décidé de se méfier des racines PKI Web RSA 1024 bits.

De temps en temps, il y a « Whoa ! Comment cela peut-il être si grave ? » des nouvelles d'une AC en particulier ou de ses délégués. Prendre des mesures contre les violations BR dans le Web PKI est difficile mais possible. Dans DNSSEC, si votre TLD se comporte mal en termes de ce qu'il signe, il n'y a pas de remède sans que tout le monde sous ce TLD change pour un autre TLD, ce qui est prohibitif. Les autorités dans DNSSEC sont encore moins attaquables en cas de mauvais comportement que dans Web PKI.

De plus, je n'ai vu aucune mise à jour réfutant la conclusion de Chrome selon laquelle une partie importante des utilisateurs de navigateurs se trouvent derrière des boîtiers de médiation qui suppriment des réponses DNS de taille DNSSEC.

Il n'y a pas de consensus entre les navigateurs sur les compromis avec DANE, et je ne pense pas que ce soit une priorité actuelle pour Servo.

Nous pouvons rouvrir/réviser ceci à l'avenir si les choses changent dans l'écosystème du navigateur.