Dal 1° luglio 2021, gli operatori DNS sono tenuti a verificare i record CAA durante l'emissione dei certificati.

In seguito a ulteriori verifiche, CA/B Forum ha rilevato che la sezione 3.2.2.8 delle attuali regole per l'emissione dei certificati SSL (requisiti di base) presentano problemi di sicurezza nel quadro della verifica CAA.

Attualmente, la sezione 3.2.2.8 consente il bypass della verifica CAA se  l'autorità di certificazione (o le sue affiliate) è un operatore DNS.

La definizione di operatore DNS presente in RFC 7719 fornisce una descrizione chiara dal punto di vista tecnico del modo in cui le zone di server autorevoli (inclusi i record NS) vengono configurate e trasferite. In base a questa definizione, l'autorità di certificazione può bypassare la verifica del record CAA, ma è comunque tenuta a cercare tutti gli altri record durante l'emissione di qualsiasi certificato.

Ciò ha provocato divergenze da parte delle autorità di certificazione, che sostengono di disporre di sufficiente autorità senza l'esigenza di una conferma, aspetto non in linea con le attuali normative.

Per evitare problemi del genere, dal 1° luglio 2021 gli operatori DNS saranno tenuti a svolgere una verifica CAA, riducendo l'ambiguità delle regole che devono essere rispettate dalle autorità di certificazione durante l'emissione dei certificati.

Iscriviti ai nostri aggiornamenti per consultare le ultime notizie sui certificati SSL.