Od 1. julija 2021 morajo operaterji DNS pri izdajanju potrdil preveriti zapisa CAA.

Na podlagi dodatnih preverjanj je CA/B Forum ugotovil, da razdelek 3.2.2.8 trenutnega pravilnika za izdajanje potrdil SSL (osnovne zahteve) vsebuje varnostne pomanjkljivosti v povezavi s preverjanjem CAA.

Razdelek 3.2.2.8 trenutno dovoljuje zaobidenje preverjanja CAA, če je overitelj potrdil (ali njegov partner) operater DNS.

Definicija operaterja DNS, podana v RFC 7719, navaja jasen tehnični opis za konfiguriranje in prenašanje območij avtoritativih strežnikov (vključno z zapisi NS). Po tej definiciji lahko overitelj potrdil zaobide preverjanje zapisa CAA, vendar mora pri izdajanju vsakega potrdila kljub temu preiskati vse druge zapise.

To je povzročilo nekaj nestrinjanja med overitelji potrdil, ki so trdili, da so avtoritativni brez vsakršne potrditve, kar pa ni v skladu z veljavnimi predpisi.

V izogib takšnim težavam morajo od 1. julija 2021 operaterji DNS izvajati preverjanje CAA. To bo zmanjšalo dvoumnost pravil za izdajanje potrdil s strani overiteljev potrdil.

Naročite se na naše novice in bodite na tekočem z novostmi na področju SSL.