Από 1 Ιουλίου 2021, οι χειριστές DNS θα πρέπει να επαληθεύουν τις εγγραφές CAA κατά την έκδοση πιστοποιητικών.

Λόγω περαιτέρω ελέγχων, το Φόρουμ CA/B έκρινε ότι η ενότητα 3.2.2.8 των υφιστάμενων κανόνων για την έκδοση πιστοποιητικών SSL (Βασικές απαιτήσεις) περιλαμβάνει κενά που σχετίζονται με την επαλήθευση της CAA.

Αυτήν τη στιγμή, η ενότητα 3.2.2.8 επιτρέπει την παράκαμψη του ελέγχου CAA αν η CA (ή η θυγατρική της) είναι χειριστής DNS.

Ο ορισμός του χειριστή DNS που δίνεται στο RFC 7719 παρέχει μια σαφή τεχνική περιγραφή για τον τρόπο διαμόρφωσης και μεταφοράς των ζωνών των διακομιστών ελέγχου ταυτότητας (εγγραφές NS). Σύμφωνα με τον ορισμό αυτόν, η αρχή έκδοσης πιστοποιητικών μπορεί να παρακάμψει την επαλήθευση της εγγραφής CAA, αλλά αυτό δεν καταργεί την ανάγκη αναζήτησης όλων των άλλων εγγραφών κατά την έκδοση κάθε πιστοποιητικού.

Αυτό δημιούργησε ορισμένες διαφωνίες μεταξύ των αρχών έκδοσης πιστοποιητικών με ισχυρισμούς περί ελέγχων ταυτότητας χωρίς επιβεβαίωση, κάτι που δεν ευθυγραμμίζεται με τους τρέχοντες κανονισμούς.

Για την αποφυγή τέτοιων προβλημάτων, από 1 Ιουλίου 2021, ο χειριστής DNS θα πρέπει να εκτελεί έλεγχο CAA. Αυτό θα μειώσει την αμφισημία των κανόνων έκδοσης πιστοποιητικών για τις αρχές έκδοσης πιστοποιητικών.

Εγγραφείτε στις ενημερώσεις μας και παραμείνετε ενήμεροι σχετικά με τις πιο πρόσφατες εξελίξεις για το SSL.