От 1 юли 2021 г. операторите на DNS ще бъдат задължени да проверяват регистрите на CAA при издаването на сертификати.

В резултат на допълнителни проверки CA/B Forum установи, че раздел 3.2.2.8 от настоящите правила за издаване на SSL сертификати (Основни изисквания) съдържа пропуски в сигурността, свързани с проверката на CAA.

Понастоящем раздел 3.2.2.8 позволява да се заобиколи проверката на CAA, ако удостоверяващият орган (CA) (или негов филиал) е оператор на DNS.

Определението за оператор на DNS, дадено в RFC 7719, предоставя ясно техническо описание на начина, по който се конфигурират и прехвърлят зоните на авторитетните сървъри (включително NS записи). Съответно с това определение удостоверяващият орган може да заобиколи проверката на регистъра на САА, но това не го освобождава от необходимостта да търси всички други регистри при издаването на всеки сертификат.

Това предизвика известно разногласие сред удостоверяващите органи, които заявиха, че са авторитетни без никакво потвърждение, което не е в съответствие с действащите разпоредби.

За да се избегнат подобни проблеми, от 1 юли 2021 г. операторът на DNS ще трябва да извършва проверка на CAA. Това ще намали двусмислието на правилата за издаване на сертификати за удостоверяващите органи.

Абонирайте се за нашите публикации, за да сте в крак с развитията около SSL.