Od 1. července 2021 budou muset provozovatelé DNS při vydávání certifikátů ověřovat záznamy CAA.

Na základě dodatečných kontrol CA/B Forum zjistilo, že část 3.2.2.8 stávajících pravidel pro vydávání certifikátů SSL (Baseline Requirements) obsahuje bezpečnostní díry týkající se ověřování CAA.

V současné době oddíl 3.2.2.8 umožňuje obejít kontrolu CAA, pokud je certifikační autorita (nebo její přidružená společnost) provozovatelem DNS.

Definice provozovatele DNS uvedená v RFC 7719 poskytuje jasný technický popis způsobu konfigurace a přenosu zón autoritativních serverů (včetně záznamů NS). V souladu s touto definicí může certifikační autorita obejít ověření záznamu CAA, ale to ji nezbavuje nutnosti vyhledávat všechny ostatní záznamy při vydávání každého certifikátu.

To vyvolalo určité neshody mezi certifikačními autoritami, které se prohlašovaly za autoritativní bez jakéhokoli potvrzení, což není v souladu s platnými předpisy.

Aby se těmto problémům předešlo, bude muset provozovatel DNS od 1. července 2021 provádět kontrolu CAA. Tím se sníží nejednoznačnost pravidel pro vydávání certifikátů pro certifikační autority.

Přihlaste se k odběru našich aktualizací, abyste měli aktuální informace o vývoji v oblasti SSL.