CA/B Forum одобрил использование CAA-записи для S/MIME-сертификатов

CA/B Forum, регулирующий орган в индустрии SSL-сертификатов, принял изменения, связанные с введением CAA-записей для выпуска S/MIME-сертификатов. Теперь CAA-записи поддерживаются и для доменов электронной почты, что определено в стандарте RFC 9495.

CAA-записи позволяют владельцам доменов использовать DNS для указания того, какие центры сертификации (ЦС) могут выдавать TLS-сертификаты для данного домена. Запись CAA дает владельцу дополнительный контроль над использованием его домена и уменьшает риск случайной неправильной выдачи сертификата.

Удостоверяющие центры должны учитывать проверку CAA для TLS-сертификатов в соответствии с правилами CA/B, и множество доменов уже используют записи CAA для указания одного или нескольких доверенных удостоверяющих центров для TLS-сертификатов.

Случай с S/MIME достаточно отличается от TLS, а потому для него были введены отдельные определения CAA. К примеру, организация может разрешить определенным УЦ выдавать TLS-сертификаты для своих доменов, но при этом список УЦ для выдачи S/MIME-сертификатов будет другим.

Обработка CAA применительно к доменам электронной почты осуществляется следующим образом: задается новая CAA-метка «issuemail» для использования в контексте S/MIME. С помощью этих меток владельцы доменов могут указывать одобренные УЦ для выдачи S/MIME-сертификатов для доменов электронной почты.

Проверка CAA для S/MIME теперь является обязательной для УЦ перед выдачей соответствующих сертификатов.