Door majortom: Door Anoniem: De volgende stap is om certificaten via DANE te accepteren, dan kan het hele WebPKI stelsel afgeschaft worden. Hoe lost DANE het grootste probleem van PKI op, zodat een gebruiker weet dat bijvoorbeeld abn-amro.org een malafide website is en niet wordt gehost door ABN AMRO? De issues betreffende authenticatie, het doel van PKI, zijn hiermee niet opgelost. Het enige dat je weet is dat de eigenaar van de site de controle heeft over de DNS (net zoals bij het ACME protocol dat Let's Encrypt gebruikt). Het lost hiermee eigenlijk geen enkel echt probleem op (enkel zaken als SMTP downgrade attacks, maar die kun je ook voorkomen door geen STARTTLS te gebruiken). Dat doet het ook niet. Het is een project van/voor mensen met een hekel het stelsen van cert authorities (ik denk dat ze al op geel gingen bij het woord 'authorities' ) , en aimgh bedacht nog voor de gratis certs . Het voornaamste wat 'opgelost' wordt is dat de trust verschuift van (tig) root cert authorities naar de DNSSEC ...