Vanaf 1 juli 2021 zullen DNS-operatoren bij de afgifte van certificaten de gegevens van de CAA moeten controleren.

Als gevolg van aanvullende controles heeft het CA/B Forum vastgesteld dat paragraaf 3.2.2.8 van de huidige regels voor de uitgifte van SSL-certificaten (Basisvereisten) veiligheidslekken bevat in verband met de verificatie van CAA.

Momenteel staat paragraaf 3.2.2.8 toe de CAA-controle te omzeilen indien de CA (of een aan de CA gelieerde onderneming) een DNS-operator is.

De definitie van een DNS-operator in RFC 7719 geeft een duidelijke technische beschrijving van de wijze waarop gezaghebbende serverzones (met inbegrip van NS-records) worden geconfigureerd en overgedragen. Overeenkomstig deze definitie kan de certificatie-autoriteit de verificatie van het CAA-dossier omzeilen, maar dit ontslaat haar niet van de noodzaak om bij de afgifte van elk certificaat alle andere dossiers te doorzoeken.

Dit veroorzaakte enige onenigheid tussen de certificatie-autoriteiten, die beweerden gezaghebbend te zijn zonder enige bevestiging, hetgeen niet in overeenstemming is met de huidige regelgeving.

Om dergelijke problemen te voorkomen, zal de DNS-operator vanaf 1 juli 2021 een CAA-controle moeten uitvoeren. Dit zal de dubbelzinnigheid van de regels voor de afgifte van certificaten voor certificatie-autoriteiten verminderen.

Schrijf u in voor onze updates om op de hoogte te blijven van SSL-ontwikkelingen.