nat*_*ado 4 domain-name-system ssl certificate
大多数低成本的 SSL 证书提供商实际上只是验证您是否控制了一个域名。对于这些类型的证书,与其支付第三方费用来验证我是否控制了域的 DNS 记录,为什么不在 DNS 中“签署”证书呢?如果我在服务器上生成一个密钥对并在 DNS 中为主机名发布相同的公钥,我认为这将是等效的安全级别。
我看到设计有两个问题,但似乎都很小:
我不知道有任何浏览器实现了这样的东西,但似乎这是一种至少获得受信任的加密连接而不显示可怕的“不受信任的证书”对话框的好方法。除了我上面提到的问题和现有的商业认证机构反对这个想法之外,还有其他原因这样做会是一个坏主意吗?