Vlákno názorů k článku Centralizovaná automatizace certifikátů pomocí nástroje uacme od Ondřej Caletka - Poznámka: Dnes už CA konečně dbají na správnost...

Poznámka: Dnes už CA konečně dbají na správnost CAA záznamů v DNS. Dlouhou dobu jim to bylo jedno. Ale dnes bez správného CAA záznamu vám CA doménu nezaregistruje.

To dnes je ve skutečnosti 8. září 2017, kdy nabyl účinnosti Ballot 187 CA/B fóra. Tedy už to tak je nějaký pátek.

Fakt? ...chmm Sectigo Limited ... staci mit na domene libovolnej mail a voiala, mam cert. CAA je jim uplne burt.

Tak to mám bohužel jinou zkušennost. Certifikáty dostáváme přes Cesnet (a ten je součástí Geantu, který soutěží dodavatele) a tím pádem se nám CA často mění (zhruba každé dva roky). Teď máme necelý rok Haricu, předtím jsme měli Digicert. A když se v roce 2022 Digicert zaváděl, správné CAA ještě nevyžadoval. Zkoušel jsem to :-)

Nemít správné CAA záznamy by nemělo být nutné ani dnes. Důležité je nemít takové CAA záznamy, které vydání znemožňují.

Nevím přesně, jak fungují certifikáty od Geántu, ale není možné, že se požadovaný řetězec v CAA nemusí při změně měnit?

Nějak se mi nechce věřit, že by nějaká velká a známá autorita takhle okatě ignorovala požadavky CA/B fóra a nikdo by si toho za tolik let nevšiml.

Geant je takový garant, Cesnet technický řešitel. Certifikáty žádáme a dostáváme přímo od Cesnetu a ten má s CA nějaké API.

CAA se při změně CA musí měnit, při přechodu na Haricu se mi jinak nedařilo registrovat domény. A že to Digicert netestoval, říkám jen na základě vlastních zkušenností z té doby. Dnes to už mají třeba správně.

Velká známá autorita? Ta banda co nám loni najednou z ničeho nic vypověděla běžící smlouvu pár měsíců před jejím oficiálním doběhnutím. Myslím tím celému Geantu. Bez zdůvodnění. Mohou si to dovolit asi proto, že jsou tak velcí a známí. Dnes k nim mám averzi.

Ověření CAA záznamů je udělané zpětně kompatibilně. Tj. CA má povinnost získat CAA záznamy pro danou doménu. Pokud žádný CAA zázname nenajde, znamená to, že vlastník domény CAA záznamy nepoužívá a CA vydává certifikát jako v době bez CAA. Jakmile CA najde nějaký CAA záznam, znamená to, že je vlastník domény používá – a CA musí ověřit, že mezi CAA záznamy najde ten „svůj“.

Je nepravděpodobné, že by nějaká velká autorita neověřovala CAA záznamy a nepřišlo se na to. Třeba Let's Encrypt v roce 2020 revokovala miliony certifikátů, když se přišlo na to, že v procesu validace CAA záznamů měli díru, která umožňovala vystavit od LE certifikát i nějakou dobu po té, co byl CAA záznam LE z DNS odstraněn.