所有CA必须在证书颁发时检查CAA记录 强制证书授权标准将于9月8日施行
作者: 日期:2017年04月17日 阅:3,086

SSL/TLS(安全套接字层/传输层安全)证书的颁发,在今年9月实施强制证书颁发机构授权(CAA)检查之后,有望发展成更加安全的过程。

上月,CA/Browser论坛187号投票结果产生,证书颁发机构(CA)和浏览器厂商投票决议CAA检查强制执行,新标准将从2017年9月8日起开始施行。自此,所有CA必须在证书颁发时检查CAA记录,防止未授权证书颁发情况出现。

CAA是一种DNS资源记录,让DNS域名持有者指定授权1家或多家CA为其域颁发证书。即其他CA不被授权。

域拥有者可设置所有公开可信CA需遵从的颁发策略,防止CA错误颁发HTTPS证书。该新标准应能缓解公共CA信任系统受制于“最弱CA木桶理论”的现状。

CA将不得不在待颁发证书的subjectAltName扩展中检查每个dNSName的CAA记录。然而,该标准并不阻止CA在其他任何时候检查CAA。

很明显,特定场景是不需要CAA检查的,比如创建了证书透明度预证书并在至少2个公共日志中有记录的证书,以及已经检查过CAA的证书。

如果CA或CA附属机构是该域DNS的DNS运营者,CAA检查就成了可选项。享受同样免检待遇的,还有“《基准要求》7.1.5节所述,由技术上受约束的下级CA颁发的证书——此处CAA检查的免除在与申请者签订的合同中是明确条款。”

CA还被要求记录遭CAA阻止的颁发行为,并向CAA事件对象描述交换格式(IODEF)记录中约定的联系人报告这些被阻止的证书颁发请求。

19家参与投票的CA中,有17家对新CAA标准投了赞成票。全部3家参与投票的浏览器厂商(Mozilla、谷歌和苹果),也投了赞成票。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章