SSL/TLS(安全套接字層/傳輸層安全)證書的頒發(fā)，在今年9月實(shí)施強(qiáng)制證書頒發(fā)機(jī)構(gòu)授權(quán)(CAA)檢查之后，有望發(fā)展成更加安全的過程。

上月，CA/Browser論壇187號(hào)投票結(jié)果產(chǎn)生，證書頒發(fā)機(jī)構(gòu)(CA)和瀏覽器廠商投票決議CAA檢查強(qiáng)制執(zhí)行，新標(biāo)準(zhǔn)將從2017年9月8日起開始施行。自此，所有CA必須在證書頒發(fā)時(shí)檢查CAA記錄，防止未授權(quán)證書頒發(fā)情況出現(xiàn)。

CAA是一種DNS資源記錄，讓DNS域名持有者指定授權(quán)1家或多家CA為其域頒發(fā)證書。即其他CA不被授權(quán)。

域擁有者可設(shè)置所有公開可信CA需遵從的頒發(fā)策略，防止CA錯(cuò)誤頒發(fā)HTTPS證書。該新標(biāo)準(zhǔn)應(yīng)能緩解公共CA信任系統(tǒng)受制于“最弱CA木桶理論”的現(xiàn)狀。

CA將不得不在待頒發(fā)證書的subjectAltName擴(kuò)展中檢查每個(gè)dNSName的CAA記錄。然而，該標(biāo)準(zhǔn)并不阻止CA在其他任何時(shí)候檢查CAA。

很明顯，特定場景是不需要CAA檢查的，比如創(chuàng)建了證書透明度預(yù)證書并在至少2個(gè)公共日志中有記錄的證書，以及已經(jīng)檢查過CAA的證書。

如果CA或CA附屬機(jī)構(gòu)是該域DNS的DNS運(yùn)營者，CAA檢查就成了可選項(xiàng)。享受同樣免檢待遇的，還有“《基準(zhǔn)要求》7.1.5節(jié)所述，由技術(shù)上受約束的下級(jí)CA頒發(fā)的證書——此處CAA檢查的免除在與申請(qǐng)者簽訂的合同中是明確條款。”

CA還被要求記錄遭CAA阻止的頒發(fā)行為，并向CAA事件對(duì)象描述交換格式(IODEF)記錄中約定的聯(lián)系人報(bào)告這些被阻止的證書頒發(fā)請(qǐng)求。

19家參與投票的CA中，有17家對(duì)新CAA標(biāo)準(zhǔn)投了贊成票。全部3家參與投票的瀏覽器廠商(Mozilla、谷歌和蘋果)，也投了贊成票。