2011/04/12 SSLにDNSSECを導入することの批判 コモド事件などからSSLの信頼が揺らいでいる。そこで、IETFではDNSSECを導入して、SSL証明書の信頼を確認しようとする動きがある(DANE WG)。そんな中、セキュリティ研究者のMoxie Marlinspike氏がブログに「SSL And The Future Of Authenticity」と題するエッセイで、現在のCAシステムには問題があることを認めつつ、DNSSECを使うことを強く警告している[slashdot]。DNSもCAも同じような階層的な信用システムを使っている以上、CAシステムと何ら変わりない。DNSSECの場合は3つの階層クラスを無条件に信用しなければならない。レジストラ: GoDaddyのようなレジストラは果たして信用できるか? TLD: .comの場合はCAシステムでも登場するVeriSignで