如果向不同的TLD发布相同的密钥，DNSSec和DANE会更安全吗？

Question

假设很难让许多政府拥有的TLDs合作来欺骗DANE或DNSSec，那么向不同的TLD发布相同的证书(不同的SAN名称)是否明智呢？

例如：

1. Company.com
2. Company.cn
3. CompanyAlias.ca
4. AnotherAlias.co.uk

如果扩展了DANE或DNSSec规范以寻找某种多国验证策略，那么客户端可以自我查询这4个域，并创建一个简单的收敛性收敛性分布式版本。

这会带来安全好处吗？

我在看什么？

Answer 1

如果您的网站(例如)位于您不信任的TLD上，那么可能会发生许多事情(比如注册表可能会更改您的域的名称服务器，使您的网站无法访问)，即使底层的TLS证书会列出许多can (我不确定CA如何验证这样的证书，因为它必须在几乎同时获得每个单独的can的所有权证明；但也许您正在考虑的是DANE案例，您在不需要CA验证的情况下直接发布证书)。

而且，在所有情况下，您仍然依赖于DNS根键和管理/治理，因此，如果您不信任DNSSEC，则这一点是不可能删除的。