Por meio desse instrumento – Certification Authority Authorization (CAA), sua organização registra pública e mundialmente quais ACs podem emitir SSL|TLS
Mudanças no processo de validação para a emissão de certificados SSL – Secure Socket Layer e TLS – Transport Layer Security, tem o objetivo transmitir mais confiança as pessoas comuns quando utilizam a internet.
As alterações estão relacionadas à verificação da Autorização da Autoridade Certificadora (CAA).
A proposta de alteração da declaração de vontade referente a CAA foi submetida ao CA / Browser Fórum por Gervase Markham da Mozilla e endossada por Jeremy Rowley da DigiCert e Ryan Sleevi do Google.
Certification Authority Authorization (CAA) | Autorização de Autoridade Certificadora é um registro de recursos DNS definido na RFC 6844, publicado em janeiro de 2013.
A autorização é uma declaração de vontade que permite ao um titular do nome de domínio DNS especifique uma ou mais Autoridades Certificadora autorizadas a emitir certificados digitais SSL/TLS para o determinado domínio e, implicitamente, que nenhuma outra Autoridade Certificadora esteja autorizada a emitir.
A intenção desta moção é tornar obrigatório que as Autoridades Certificadoras verifiquem os registros da CAA no durante o processo de validação e verificação que antecedem a emissão do SSL/TLS para todos os certificados emitidos, exceto em alguns casos especiais.
Se for encontrado um registro CAA nessa etapa de validação, e na declaração não inclui a determinada AC, o certificado não poderá ser emitido.
Isso, portanto, permite que os proprietários de domínio estabeleçam uma política de emissão que será respeitada por todas as credenciais publicamente confiáveis e permite mitigar o problema de que o sistema público de confiança de uma Autoridade Certificadora seja tão forte quanto a Autoridade Certificadora mais fraca.
A CAA passa a receber destaque justamente pelo aumento de Autoridades Certificadoras que foram incorporadas aos navegadores nos últimos anos. Atualmente são mais de 60 entidades com suas raízes reconhecidas pelos navegadores.
A maioria dessas Autoridades Certificadoras permite que os clientes emitam um certificado SSL/TLS confiável publicamente, independentemente da localização do servidor ou das políticas de certificados internos e sem os procedimentos de verificação sugeridos pelo CA/B Fórum.
De acordo com as recentes alterações da diretriz do CA/B Fórum, as Autoridades Certificadoras agora são obrigadas a verificar registros de CAA de DNS e honrar essas preferências.
Se não houver nenhum registro de CAA de DNS, qualquer AC tem permissão para emitir um certificado para o domínio. Se houver um registro de CAA de DNS, apenas as ACs descritas nos registros terão permissão para emitir os certificados para aquele nome de provedor de hospedagem.
Há diversos sites que podem ajudar a determinar se seu DNS está configurado adequadamente.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.