Por meio desse instrumento – Certification Authority Authorization (CAA), sua organização registra pública e mundialmente quais ACs podem emitir SSL|TLS
Mudanças no processo de validação para a emissão de certificados SSL – Secure Socket Layer e TLS – Transport Layer Security, tem o objetivo transmitir mais confiança as pessoas comuns quando utilizam a internet.
As alterações estão relacionadas à verificação da Autorização da Autoridade Certificadora (CAA).
A proposta de alteração da declaração de vontade referente a CAA foi submetida ao CA / Browser Fórum por Gervase Markham da Mozilla e endossada por Jeremy Rowley da DigiCert e Ryan Sleevi do Google.
Certification Authority Authorization (CAA) | Autorização de Autoridade Certificadora é um registro de recursos DNS definido na RFC 6844, publicado em janeiro de 2013.
A autorização é uma declaração de vontade que permite ao um titular do nome de domínio DNS especifique uma ou mais Autoridades Certificadora autorizadas a emitir certificados digitais SSL/TLS para o determinado domínio e, implicitamente, que nenhuma outra Autoridade Certificadora esteja autorizada a emitir.
A intenção desta moção é tornar obrigatório que as Autoridades Certificadoras verifiquem os registros da CAA no durante o processo de validação e verificação que antecedem a emissão do SSL/TLS para todos os certificados emitidos, exceto em alguns casos especiais.
Se for encontrado um registro CAA nessa etapa de validação, e na declaração não inclui a determinada AC, o certificado não poderá ser emitido.
Isso, portanto, permite que os proprietários de domínio estabeleçam uma política de emissão que será respeitada por todas as credenciais publicamente confiáveis e permite mitigar o problema de que o sistema público de confiança de uma Autoridade Certificadora seja tão forte quanto a Autoridade Certificadora mais fraca.
A CAA passa a receber destaque justamente pelo aumento de Autoridades Certificadoras que foram incorporadas aos navegadores nos últimos anos. Atualmente são mais de 60 entidades com suas raízes reconhecidas pelos navegadores.
A maioria dessas Autoridades Certificadoras permite que os clientes emitam um certificado SSL/TLS confiável publicamente, independentemente da localização do servidor ou das políticas de certificados internos e sem os procedimentos de verificação sugeridos pelo CA/B Fórum.
De acordo com as recentes alterações da diretriz do CA/B Fórum, as Autoridades Certificadoras agora são obrigadas a verificar registros de CAA de DNS e honrar essas preferências.
Se não houver nenhum registro de CAA de DNS, qualquer AC tem permissão para emitir um certificado para o domínio. Se houver um registro de CAA de DNS, apenas as ACs descritas nos registros terão permissão para emitir os certificados para aquele nome de provedor de hospedagem.
Há diversos sites que podem ajudar a determinar se seu DNS está configurado adequadamente.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
O Crypto ID é uma plataforma de destaque no cenário de identificação digital, cibersegurança e tecnologia, atuando como referência em conteúdos especializados e atualizados sobre temas como certificação digital, blockchain, biometria, autenticação multifatorial e tendências regulatórias.
Fundado há mais de uma década, a plataforma se consolidou como uma fonte confiável para profissionais de TI, empresas e entusiastas da segurança digital.
A plataforma posiciona-se não apenas como um veículo de notícias, mas como um agente ativo na promoção de um ecossistema digital seguro.
Sua combinação de análises técnicas, cobertura de eventos e parcerias com líderes do setor faz dele um recurso indispensável para quem busca entender e se adaptar às transformações da identidade digital e da cibersegurança no Brasil.
