A partir del 1 de julio de 2021, los operadores de DNS deberán verificar los registros CAA a la hora de emitir certificados.

Como resultado de unos controles adicionales, el CA/B Forum consideró que la sección 3.2.2.8 de las normas actuales para la emisión de certificados SSL (requisitos básicos) contiene lagunas de seguridad relacionadas con la verificación de CAA.

Actualmente, la sección 3.2.2.8 permite omitir el control de CAA si la AC (o un afiliado) es un operador de DNS.

La definición de «operador de DNS» que figura en RFC 7719 ofrece una clara descripción técnica de cómo se configuran y transfieren las zonas de servidores de autoridad (incluidos los registros NS). De acuerdo con esa definición, la autoridad de certificación puede omitir la verificación del registro CAA, pero esto no la exime de tener que buscar todos los demás registros a la hora de emitir cada certificado.

Esto dio lugar a un cierto desacuerdo entre las autoridades de certificación, que alegaron tener autoridad sin ninguna confirmación, lo cual no se ajusta a la normativa actual.

A fin de evitar estos problemas, a partir del 1 de julio de 2021, el operador de DNS deberá realizar un control de CAA. Esto reducirá la ambigüedad de las normas para la emisión de certificados por parte de las autoridades de certificación.

Suscríbase a nuestras actualizaciones para mantenerse al día sobre los avances en materia de SSL.