http://www.stargrave.org/Trust-anchor.html
Давно в
108669cb34dc8b1fd2d91f77214906350ac5f76b писал о разнице между
DNSSEC и DNSCurve. Первый не приемлю -- дичайшая сложность и PKI во всей
красе, плюс никакой приватности пользователя он не защищает (нет
шифрования). Дошлю руки его реализовать. К тому же, уже давно у меня в
DNS есть TLSA записи (DANE) для всего что использует TLS сертификаты.
Поэтому, доверяя DNS ответам (доверяя DNSCurve публичным ключам), можно
доверять и TLSA записям (с хэшами SPKI TLS сертификатов) и,
соответственно, сертификатам, без необходимости доверия к CACert.org,
ибо многие дистрибутивы ОС его не содержат.
uz544mqwggqbf3z4utlhfqn45vpbpq78nc63hpg5u2ut29stkt0pkr.ns3.stargrave.org.
uz5kh6w1c4bcqbxn7ljmtjhyjzku1spm2xckmhukq30dsmy2m18v7m.ns4.stargrave.org.