Odpověď na názor
Odpovídáte na názor k článku Centralizovaná automatizace certifikátů pomocí nástroje uacme. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelOvěření CAA záznamů je udělané zpětně kompatibilně. Tj. CA má povinnost získat CAA záznamy pro danou doménu. Pokud žádný CAA zázname nenajde, znamená to, že vlastník domény CAA záznamy nepoužívá a CA vydává certifikát jako v době bez CAA. Jakmile CA najde nějaký CAA záznam, znamená to, že je vlastník domény používá – a CA musí ověřit, že mezi CAA záznamy najde ten „svůj“.
Je nepravděpodobné, že by nějaká velká autorita neověřovala CAA záznamy a nepřišlo se na to. Třeba Let's Encrypt v roce 2020 revokovala miliony certifikátů, když se přišlo na to, že v procesu validace CAA záznamů měli díru, která umožňovala vystavit od LE certifikát i nějakou dobu po té, co byl CAA záznam LE z DNS odstraněn.
