在签发证书SSL/TLS证书时,DNS运营商将被要求核实CAA记录
发布时间:2022-10-16 发布者:青蛙数字安全
经过额外的检查,CA/B论坛发现现行的SSL证书颁发规则(基线要求)第3.2.2.8节包含与CAA检查有关的安全漏洞。
目前,第3.2.2.8节允许绕过CAA检查,如果该CA(或其附属机构)是一个DNS运营商。
RFC 7719中给出的DNS运营商的定义对权威服务器区(包括NS记录)的配置和传输提供了明确的技术描述。根据该定义,认证机构可以绕过CAA记录的验证,但这并不能免除它在签发每个证书时搜索所有其他记录的需要。
这在认证机构中引起了一些分歧,他们在没有任何确认的情况下声称自己是权威的,这不符合目前的规定。
为了避免此类问题,从2021年7月1日起,DNS运营商必须进行CAA检查。这将减少认证机构颁发证书的规则的模糊性。