CA/Browser论坛批准CAA用于S/MIME证书
在2024年1月,CA/Browser论坛投票通过了将Certification Authority Authorization(CAA)用于S/MIME电子邮件证书。共有十九票支持了SCM05提案。建议CA在2024年9月15日之前采用新的CAA功能;支持将于2025年3月15日成为强制性要求。
CAA是一种DNS记录类型,允许站点所有者指定哪些证书颁发机构(CAs)有权颁发包含其域名的证书。它最初在2013年标准化,而我们今天使用的版本是由RFC 8659和RFC 8657在2019年标准化的。默认情况下,每个公共CA都被允许为公共DNS中的任何域名颁发证书,前提是他们验证了对该域名的控制权。这意味着如果任何一个公共CA的验证流程中存在漏洞,每个域名都有可能受到影响。CAA为域名持有者提供了减少这种风险的途径。而用于S/MIME证书的CAA是最近的改进,于2023年10月发布为RFC 9495。
CAA是一种DNS记录类型,允许站点所有者指定哪些证书颁发机构(CAs)有权颁发包含其域名的证书。它最初在2013年标准化,而我们今天使用的版本是由RFC 8659和RFC 8657在2019年标准化的。默认情况下,每个公共CA都被允许为公共DNS中的任何域名颁发证书,前提是他们验证了对该域名的控制权。这意味着如果任何一个公共CA的验证流程中存在漏洞,每个域名都有可能受到影响。CAA为域名持有者提供了减少这种风险的途径。而用于S/MIME证书的CAA是最近的改进,于2023年10月发布为RFC 9495。
现在除了我们已经熟悉的:issue 和 issuewild 参数以外,又多了一个issuemail:
example.com. CAA 0 issue "geotrust.com" example.com. CAA 0 issuewild "digicert.com" example.com. CAA 0 issuemail ";" example.com. CAA 0 iodef "pki@example.com"
最新修订日期:2024年01月31日