Ik verdiep me een beetje in de de stof mbt DNSSEC/DANE en hoe dit mogelijk een alternatief aan het worden is op de traditionele vertrouwde CA certificaten. Hoewel ik de voordelen snap (onafhankelijk van CA partijen) en een ander voordeel dat genoemd wordt is dat wanneer er een CA lek is (diginotar) dat men een vertrouwd certificaat kan maken en de user hier geen erg in heeft. Bij DNSSEC/DANE heb je een volledige hiërarchie en weet je of de sleutels die je doorkrijgt ook echt bij de betreffende server horen. Echter hier heb ik nog iets wat mij niet helder is.
De sleutels van DNSSEC worden via het DNS aangeleverd aan de client. Indien je bijvoorbeeld op een publieke wifi zit en ook de DNS daar van door krijgt, wat garandeert je dan dat iemand daar niet in heeft zitten bewerken? Ik kan me voorstellen dat je dan als client sowieso DNSSEC moet eisen, maar dan nog: als je het gehele verkeer kunt manipuleren, kun je dan niet ook van root .nl tot het domein valse sleutels voorschotelen aan de client? Bij een CA heb je dan ten minste nog de lokale root certificaten waaraan het getoetst kan worden, en zal men pas bij een lekke CA succes hebben.
Klopt mijn redenatie, of werkt het toch anders?