À partir du 1er juillet 2021, les opérateurs DNS seront tenus de vérifier les enregistrements CAA lors de la délivrance de certificats.

À la suite de vérifications supplémentaires, le Forum CA/B a constaté que la section 3.2.2.8 des règles actuelles d’émission de certificats SSL (« Baseline Requirements ») contient des failles de sécurité liées à la vérification de la CAA.

Actuellement, la section 3.2.2.8 permet de contourner la vérification de la CAA si la CA (ou sa filiale) est un opérateur DNS.

La définition d’un opérateur DNS donnée dans la RFC 7719 fournit une description technique claire de la façon dont les zones de serveur faisant autorité (y compris les enregistrements NS) sont configurées et transférées. Conformément à cette définition, l’autorité de certification peut contourner la vérification de l’enregistrement CAA, mais cela ne la dispense pas de rechercher tous les autres enregistrements lors de la délivrance de chaque certificat.

Cela a provoqué un certain désaccord entre les autorités de certification, qui ont prétendu faire autorité sans aucune confirmation, ce qui n’est pas conforme à la réglementation en vigueur.

Pour éviter de tels problèmes, à partir du 1er juillet 2021, l’opérateur DNS devra effectuer un contrôle de la CAA. Cela réduira l’ambiguïté des règles de délivrance des certificats pour les autorités de certification.

Abonnez-vous à notre lettre d’information pour vous tenir au courant de l’actualité SSL.