Tal como lo entiendo, DANE ( RFC 6698 ) es un candidato prometedor para abordar los problemas con los anclajes actuales de TLS Trust. es decir, anclas de confianza).
Mi intento de explicar el problema:
Actualmente, las CA son anclajes de confianza universales y, como resultado, se les permite emitir certificados para cualquier sitio, sin importar el TLD o la existencia previa de un certificado válido. DANE movería estos anclajes de confianza a la infraestructura DNS donde habría una jerarquía estricta de clave pública (por ejemplo, "*" - > "* .com" - > "* .example.com" etc.).
Atar la confianza a la entrada del DNS requiere que estos sean seguros (por ejemplo, de envenenamiento de caché). El estándar propuesto que intenta resolver esto es DNSSEC ( RFC 5155 ). También me sorprende que el movimiento hacia DNSSEC no haya sido más rápido dado que los problemas actuales con DNS parecen ser numerosos, bien documentados y potencialmente bastante graves.
El teórico de la conspiración en mí quiere culpar al negocio de CA, que tiene un interés personal en el fracaso de DANE, pero estoy seguro de que hay explicaciones más racionales.
Básicamente: ¿Qué es, en todo caso, obstaculiza el progreso / la adopción de estos RFC?