SSL/TLS(安全套接字層/傳輸層安全)證書的頒發(fā),在今年9月實(shí)施強(qiáng)制證書頒發(fā)機(jī)構(gòu)授權(quán)(CAA)檢查之后,有望發(fā)展成更加安全的過程。
上月,CA/Browser論壇187號(hào)投票結(jié)果產(chǎn)生,證書頒發(fā)機(jī)構(gòu)(CA)和瀏覽器廠商投票決議CAA檢查強(qiáng)制執(zhí)行,新標(biāo)準(zhǔn)將從2017年9月8日起開始施行。自此,所有CA必須在證書頒發(fā)時(shí)檢查CAA記錄,防止未授權(quán)證書頒發(fā)情況出現(xiàn)。
CAA是一種DNS資源記錄,讓DNS域名持有者指定授權(quán)1家或多家CA為其域頒發(fā)證書。即其他CA不被授權(quán)。
域擁有者可設(shè)置所有公開可信CA需遵從的頒發(fā)策略,防止CA錯(cuò)誤頒發(fā)HTTPS證書。該新標(biāo)準(zhǔn)應(yīng)能緩解公共CA信任系統(tǒng)受制于“最弱CA木桶理論”的現(xiàn)狀。
CA將不得不在待頒發(fā)證書的subjectAltName擴(kuò)展中檢查每個(gè)dNSName的CAA記錄。然而,該標(biāo)準(zhǔn)并不阻止CA在其他任何時(shí)候檢查CAA。
很明顯,特定場景是不需要CAA檢查的,比如創(chuàng)建了證書透明度預(yù)證書并在至少2個(gè)公共日志中有記錄的證書,以及已經(jīng)檢查過CAA的證書。
如果CA或CA附屬機(jī)構(gòu)是該域DNS的DNS運(yùn)營者,CAA檢查就成了可選項(xiàng)。享受同樣免檢待遇的,還有“《基準(zhǔn)要求》7.1.5節(jié)所述,由技術(shù)上受約束的下級(jí)CA頒發(fā)的證書——此處CAA檢查的免除在與申請者簽訂的合同中是明確條款。”
CA還被要求記錄遭CAA阻止的頒發(fā)行為,并向CAA事件對象描述交換格式(IODEF)記錄中約定的聯(lián)系人報(bào)告這些被阻止的證書頒發(fā)請求。
19家參與投票的CA中,有17家對新CAA標(biāo)準(zhǔn)投了贊成票。全部3家參與投票的瀏覽器廠商(Mozilla、谷歌和蘋果),也投了贊成票。