Por meio desse instrumento – Certification Authority Authorization (CAA), sua organização registra pública e mundialmente quais ACs podem emitir SSL|TLS
Mudanças no processo de validação para a emissão de certificados SSL – Secure Socket Layer e TLS – Transport Layer Security, tem o objetivo transmitir mais confiança as pessoas comuns quando utilizam a internet.
As alterações estão relacionadas à verificação da Autorização da Autoridade Certificadora (CAA).
A proposta de alteração da declaração de vontade referente a CAA foi submetida ao CA / Browser Fórum por Gervase Markham da Mozilla e endossada por Jeremy Rowley da DigiCert e Ryan Sleevi do Google.
Certification Authority Authorization (CAA) | Autorização de Autoridade Certificadora é um registro de recursos DNS definido na RFC 6844, publicado em janeiro de 2013.
A autorização é uma declaração de vontade que permite ao um titular do nome de domínio DNS especifique uma ou mais Autoridades Certificadora autorizadas a emitir certificados digitais SSL/TLS para o determinado domínio e, implicitamente, que nenhuma outra Autoridade Certificadora esteja autorizada a emitir.
A intenção desta moção é tornar obrigatório que as Autoridades Certificadoras verifiquem os registros da CAA no durante o processo de validação e verificação que antecedem a emissão do SSL/TLS para todos os certificados emitidos, exceto em alguns casos especiais.
Se for encontrado um registro CAA nessa etapa de validação, e na declaração não inclui a determinada AC, o certificado não poderá ser emitido.
Isso, portanto, permite que os proprietários de domínio estabeleçam uma política de emissão que será respeitada por todas as credenciais publicamente confiáveis e permite mitigar o problema de que o sistema público de confiança de uma Autoridade Certificadora seja tão forte quanto a Autoridade Certificadora mais fraca.
A CAA passa a receber destaque justamente pelo aumento de Autoridades Certificadoras que foram incorporadas aos navegadores nos últimos anos. Atualmente são mais de 60 entidades com suas raízes reconhecidas pelos navegadores.
A maioria dessas Autoridades Certificadoras permite que os clientes emitam um certificado SSL/TLS confiável publicamente, independentemente da localização do servidor ou das políticas de certificados internos e sem os procedimentos de verificação sugeridos pelo CA/B Fórum.
De acordo com as recentes alterações da diretriz do CA/B Fórum, as Autoridades Certificadoras agora são obrigadas a verificar registros de CAA de DNS e honrar essas preferências.
Se não houver nenhum registro de CAA de DNS, qualquer AC tem permissão para emitir um certificado para o domínio. Se houver um registro de CAA de DNS, apenas as ACs descritas nos registros terão permissão para emitir os certificados para aquele nome de provedor de hospedagem.
Há diversos sites que podem ajudar a determinar se seu DNS está configurado adequadamente.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
