证书颁发机构授权(CAA)是一种可选的安全措施,网站运营商可以使用这些措施来保护其域名免于错误发布。
它允许域所有者指定哪些证书颁发机构(CA)被允许为其网站颁发证书。CAA被配置为DNS记录。想要使用CAA的域所有者可以创建一个DNS记录,包含能为其颁发证书的CA列表。
CAB论坛在上月批准了一项提案,即,从2017年9月8日起,所有CA将被要求检查并遵守域的CAA记录。
为什么要强制CAA检查?
任何一个CA都有能力影响整个互联网的安全。浏览器运送大约100个根证书,包括政府拥有的根证书和一些难以描述的区域性CA。
任何一个CA都可以给你的域名颁发证书,而在历史上,那些小且不知名的CA常常是黑客利用的对象,或者在没有正确验证的情况下发出证书。
虽然不少诸如证书透明度和名称约束等措施的存在也是为了限制这些根证书的权力,CAA为域名所有者提供了另一个防线。
目前,全球只有几百个使用CAA的网站。之所以用的人这么少,其原因有二:
- 在这次提案投票通过前,CAA不是强制性的,因而也算不上真正的安全措施。
- CAA有它自己的DNS记录类型,这就需要DNS提供商为其添加支持。
如今CAA检查成为强制,第一个障碍已被照顾。这将大大增加用户部署CAA的兴趣,并鼓励供应商支持CAA。