La autorización de la autoridad de certificación del DNS ( CAA ) es un mecanismo de política de seguridad de Internet que permite a los titulares de nombres de dominio indicar a las autoridades de certificación si están autorizados a emitir certificados digitales para un nombre de dominio en particular . Lo hace mediante un nuevo registro de recursos del Sistema de nombres de dominio (DNS) "CAA" .
Fue redactado por los informáticos Phillip Hallam-Baker y Rob Stradling en respuesta a las crecientes preocupaciones sobre la seguridad de las autoridades de certificación de confianza pública. Es un estándar propuesto por el Grupo de Trabajo de Ingeniería de Internet (IETF) .
Una serie de certificados emitidos incorrectamente desde 2001 en adelante [1] [2] dañó la confianza en las autoridades de certificación de confianza pública, [3] y aceleró el trabajo en varios mecanismos de seguridad, incluida la transparencia de certificados para rastrear la emisión incorrecta , la fijación de claves públicas HTTP y el DANE para bloquear los certificados emitidos incorrectamente en el lado del cliente y CAA para bloquear la emisión incorrecta en el lado de la autoridad de certificación. [4]
El primer borrador de CAA fue escrito por Phillip Hallam-Baker y Rob Stradling, y presentado como un Borrador de Internet IETF en octubre de 2010. [5] Este fue mejorado progresivamente por el Grupo de Trabajo PKIX , [6] y aprobado por el IESG como RFC 6844 , una propuesta de estándar , en enero de 2013. [7] La discusión del CA / Browser Forum comenzó poco después, [4] y en marzo de 2017 votaron a favor de hacer obligatoria la implementación de CAA para todas las autoridades de certificación para septiembre de 2017. [8] [ 9] Al menos una autoridad certificadora, Comodo , no implementó CAA antes de la fecha límite. [10] Un estudio de 2017 de la Universidad Técnica de Múnich encontró muchos casos en los que las autoridades de certificación no implementaron correctamente alguna parte del estándar. [4]
En septiembre de 2017, Jacob Hoffman-Andrews presentó un Borrador de Internet destinado a simplificar el estándar CAA. Esto fue mejorado por el Grupo de trabajo LAMPS y aprobado como RFC 8659 , una Norma propuesta, en noviembre de 2019. [11]
A enero de 2020 [actualizar], Qualys informa que todavía, solo el 6,8% de los 150.000 sitios web que admiten TLS más populares utilizan registros CAA. [12]