Últimas notícias

Fique informado

Autorização da Autoridade Certificadora CAA reforça a cadeia de confiança da internet mundial

13/09/2017

Por meio desse instrumento – Certification Authority Authorization (CAA), sua organização registra pública e mundialmente quais ACs podem emitir SSL|TLS 

Mudanças no processo de validação para a emissão de certificados SSL – Secure Socket Layer e TLS – Transport Layer Security, tem o objetivo transmitir mais confiança as pessoas comuns quando utilizam a internet.

As alterações estão relacionadas à verificação da Autorização da Autoridade Certificadora (CAA).

A proposta de alteração da declaração de vontade referente a CAA foi submetida ao CA / Browser  Fórum por Gervase Markham da Mozilla e endossada por Jeremy Rowley da DigiCert e Ryan Sleevi do Google.

Certification Authority Authorization (CAA) | Autorização de Autoridade Certificadora é um registro de recursos DNS definido na RFC 6844, publicado em janeiro de 2013.

A autorização é uma declaração de vontade que permite ao um titular do nome de domínio DNS especifique uma ou mais Autoridades Certificadora autorizadas a emitir certificados digitais SSL/TLS para o determinado domínio e, implicitamente, que nenhuma outra Autoridade Certificadora esteja autorizada a emitir.

A intenção desta moção é tornar obrigatório que as Autoridades Certificadoras verifiquem os registros da CAA no durante o processo de validação e verificação que antecedem a emissão do SSL/TLS para todos os certificados emitidos, exceto em alguns casos especiais.

Se for encontrado um registro CAA nessa etapa de validação, e na declaração não inclui a determinada AC, o certificado não poderá ser emitido.

Isso, portanto, permite que os proprietários de domínio estabeleçam uma política de emissão que será respeitada por todas as credenciais publicamente confiáveis ​​e permite mitigar o problema de que o sistema público de confiança de uma Autoridade Certificadora seja tão forte quanto a Autoridade Certificadora mais fraca.

A CAA passa a receber destaque  justamente pelo aumento de Autoridades Certificadoras que foram incorporadas aos navegadores nos últimos anos. Atualmente são mais de 60 entidades com suas raízes reconhecidas pelos navegadores. A maioria dessas Autoridades Certificadoras permite que os clientes emitam um certificado SSL/TLS confiável publicamente, independentemente da localização do servidor ou das políticas de certificados internos e sem os procedimentos de verificação sugeridos pelo CA/B Fórum.

De acordo com as recentes alterações da diretriz do CA/B Fórum, as Autoridades Certificadoras agora são obrigadas a verificar registros de CAA de DNS e honrar essas preferências.

Se não houver nenhum registro de CAA de DNS, qualquer AC tem permissão para emitir um certificado para o domínio. Se houver um registro de CAA de DNS, apenas as ACs descritas nos registros terão permissão para emitir os certificados para aquele nome de provedor de hospedagem.

diversos sites que podem ajudar a determinar se seu DNS está configurado adequadamente e recomendamos especificamente esta subpágina.

A Autoridade Certificadora Global GlobalSign enviou um comunicado sobre o assunto aos clientes e mantém informações atualizadas sobre a Verificação de CAA.

Também você poderá conferir o artigo CAA Checking for SSL Certificates publicado por Globalsign em sua página de Artigos de Suporte.

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

Apenas usuários registrados podem comentar.