Si entiendo correctamente, los registros DNS de Autorización de Autoridad de Certificación se utilizan para especificar qué autoridades de certificación tienen permiso para emitir certificados para un dominio determinado. Si ese registro existe y una CA no figura en él, esa CA debe negarse a emitir un certificado para el dominio.
Sin embargo, esto no parece proteger contra las vulnerabilidades en la CA. Si alguna autoridad de confianza no implementa CAA correctamente, o si se infringen las claves privadas de una autoridad, CAA no ayuda.
Mi pregunta es, ¿por qué los navegadores no revisan los registros de CAA? Si el certificado otorgado no fue emitido por una CA autorizada en el registro, consideraría que el certificado no es válido. Esto aumentaría en gran medida la seguridad al reducir la lista de CA que deben confiarse solo a aquellas en las que el propietario del sitio web confía.
Entiendo que HPKP también se usa para prevenir certificados incorrectos. Sin embargo, solo funciona con HTTP y requiere confiar en el primer certificado recibido para un sitio o confiar en una lista de precarga de terceros.
Entonces, ¿esto es algo que los navegadores podrían implementar, o me estoy perdiendo algo aquí?