数月后,公信证书机构将不得不开始尊重特殊域名系统记录,允许域主指定谁允许为域发布SSL证书
验证局DNS记录2013年成为标准,但没有产生多少实战效果,因为验证局没有义务遵守这些记录。
记录允许域主列允许发布域SSL/TLS证书的CA理由是限制未经授权签发证书案例,如果CA失密或有流氓雇员,这种案例可以是意外或故意的。
CA/Browser论坛创建的现行行业规则是一个组织,将浏览器大商和CAs合并,证书管理机构必须验证SSL证书请求出自域主自身或控制域的人
控件验证通常是自动化的,并请求域主创建带特定值的DNSTXT记录或上传权限代码到网站结构中特定位置,从而证明他们对域的控制
黑入网站还可能让攻击者通过验证并请求证书机构提供失密域有效证书后用此证书对用户发动中间人攻击或引导用户上网网页
CAA记录背后的目标是限制谁可签发域证书GoogleCA记录gle.com86400INCA0发布symantec.com
3月CA/B论坛投票强制CAA记录检查,作为证书签发过程的一部分这一要求将在9月上实施8cs不尊重记录 将违反行业规则 并有制裁风险
除问题标签外,CAA记录还支持标注iodef标签允许域主指定电子邮件地址或URL,CAs可报告证书发布请求与域内CAA策略冲突
举例说,如果CA接收域X证书请求,CAA记录授权不同CA签发证书,CAMust向电子邮件地址或CAAiodef属性指定的URL报告可疑请求这会提醒域所有者 可能有人试图获取证书 未经授权
安全研究员Scott Helme 和HTTPS部署专家博客文章.服务商锁不必担心, 因为记录只在发布点检查,没有什么可损失的。”