Door Anoniem: Voor DNSSEC heb je nogsteeds eenzelfde infrastructuur nodig als met SSL en dat is nou net het issue, je wilt geen vage centrale authoriteit die je tot in de eeuwigheid moet vertrouwen zonder zelf te kunnen opteren (cliënt-side) voor een andere manier verificatie of authoriteit die de verificatie verzorgd. Dat is wat Moxie Marlinspike bedoelt met 'trust agility' Er is niks dat jou verbiedt om andere manieren te bedenken om certificaten te vertrouwen. Ga je gang. Wat DNSSEC doet is een vertrouwen geven dat veel handiger is. De huidige CA model zegt eigenlijk "deze certificaat is van instantie X" wat niet echt nuttig is, want wat heeft instantie X te maken met de website die jij bezoekt? Dit is niet iets wat je automatisch kan verifieren. Via DNSSEC krijg je vertrouwen dat "deze certificaat is van de beheerder van site X". Dus kan je bewijzen dat de als je naar google.com gaat, dat de certificaat die je krijgt aangeboden van de website beheerd wordt door de eigenaar van google.com. In feite ...