domain-name-system – 为什么我们不能使用DNS来分发SSL证书？

大多数低成本SSL证书提供商实际上只验证您是否控制了域名.对于那些类型的证书,而不是支付第三方来验证我控制域的DNS记录,为什么不在DNS中“签署”证书？如果我在服务器上生成密钥对并在DNS中为主机名发布相同的公钥,我认为这将是一个等同的安全级别.

我看到设计有两个问题,但两者都很小：

> EA证书和验证个人/公司详细信息的更高级别证书无法通过这种方式完成.希望通过浏览器获得绿色标准的组织可以继续这样做.
>具有恶意DNS服务器的恶意网络可能会将您重定向到不同的主机名和不同的可信SSL证书.也许DNSSEC可以解决这个否认问题？

我不知道有任何浏览器实现这样的东西,但似乎这是一个很好的方法,至少得到一个可信的加密连接,而不显示可怕的“不受信任的证书”对话框.除了我上面提到的问题和现有的商业认证机构打击这个想法,还有其他原因这样做是个坏主意吗？