¿Por qué está diseñado para confiar en que todas las CA raíz emitan certificados para cualquier nombre de dominio?
Esto tiene razones históricas y quizás razones para promover la competencia. Al principio tenías solo unos pocos CA raíz con precios muy altos. Ahora los precios están bajos porque todos los CA pueden emitir un certificado para cualquiera. Si cada CA solo pudiera firmar certificados para una parte específica de Internet, esta competencia no sería posible.
El diseño inicial tan inseguro que tiene en varias partes de los protocolos de Internet y generalmente se soluciona agregando seguridad opcional, es decir, fijación de certificados, política de seguridad de contenido contra scripts entre sitios, etc. Por supuesto, todo esto es simplemente Seguridad opcional agregada y por lo tanto rara vez se utiliza. El pensamiento general es que funciona sin tener que preocuparse.
¿No sería más seguro que usted designe qué autoridades de certificado raíz están permitidas & ¿Se puede confiar en firmar certificados para sus registros de nombre de dominio, por ejemplo, a través de DNS SEC?
Hay ideas para usarlo y en el área de seguridad del correo DANE está ganando poco a poco seguidores y hay también propuestas para almacenar SSH u otras claves y certificados (o huellas digitales) en DNS. El problema principal es que primero se necesita tener DNSSec disponible en todas partes antes de poder confiar en DNSSec para entregar todos estos certificados. Pero por ahora solo una pequeña parte de Internet está protegida por DNSSec. Además, muchos resolvedores de DNS no tratan con DNSSec en absoluto o no lo hacen correctamente y, en el nivel de la aplicación, por lo general, tampoco tiene acceso al estado de protección de una respuesta de DNS.
Los ejemplos de DNS similares también son registros SPF de correo en los que usted dice qué servidores de correo pueden enviar correo desde su dominio.
Los registros SPF o DKIM no se consideran tan importantes para la seguridad y, por lo tanto, la entrega de estos registros con DNS simple sin protección se considera aceptable. Este no sería el caso de los certificados en los que necesitaría una respuesta en la que pueda confiar plenamente.