В результате дополнительных проверок CA/B Forum выяснил, что секция 3.2.2.8 текущих правил по выпуску SSL-сертификатов (Baseline Requirements) содержит дыры в безопасности, связанные с проверкой CAA.

В настоящий момент секция 3.2.2.8 позволяет обойти проверку CAA, если удостоверяющий центр (или его аффилированное лицо) является DNS-оператором.

Определение DNS-оператора, данное в RFC 7719, содержит четкое техническое описание того, как конфигурируются и передаются зоны авторитетных серверов (включая NS-записи). Соответственно, удостоверяющий центр может обойти проверку CAA-записи, но это не освобождает его от необходимости поиска всех остальных записей при выдаче каждого сертификата.

В итоге это вызвало некоторые разногласия среди удостоверяющих центров. Они стали называть себя авторитетными без каких-либо подтверждений, что не соответствует текущим правилам.

Чтобы избежать подобных проблем, с 1 июля 2021 года оператор DNS должен будет выполнять проверку CAA. Это позволит снизить двусмысленность правил выпуска сертификатов для удостоверяющих центров.

Подписывайтесь на наши обновления, чтобы быть в курсе изменений в сфере SSL.