<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Jan 4, 2015 at 7:23 AM, Christoph Anton Mitterer <span dir="ltr"><<a href="mailto:calestyo@scientia.net" target="_blank">calestyo@scientia.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Apart from that,... everyone should know by now, that the X.509 / CA<br>
based trust system we have in TLS is inherently broken... alone the fact<br>
that you have several 100 CAs in your browsers, many completely<br>
untrustworthy or proven to be incompetent.<br></blockquote><div><br></div><div>Yes, I'm sure everyone on this list knows Achmed's Used Cars and Certificates</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So probably the best possible way to have a strict hierarchical system<br>
would be DANE.<br></blockquote><div><br></div><div>Great in theory, but DNSSEC is terrible in practice</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">And for DANE in turn, you could just place your SSH keys in DNS. Scales<br>
as good as anything else.</blockquote><div><br></div><div>Is that even supported now? </div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>