ニュースソース:Bulletproof TLS Newsletter
以下は、2017年9月28日にHannoBöck氏によって投稿されたCAA is now mandatoryを要約したものです。
2017年9月29日現在、CA/ブラウザフォーラムはより厳密なCAAレコードチェック規定を策定中です。
DNSのCAA(認証局認可)レコードは、2013年にRFC 6844で指定されましたが、最近まで必須ではありませんでした。
しかし、CA/ブラウザフォーラムがCA(認証局)に、2017年9月8日からのCAAレコードチェックを義務付けました。
ドメイン所有者はDNSのCAAレコードに、どのCA(認証局)が証明書を発行できるかを記述できます。
CA(認証局)は証明書を発行するにあたってCAAレコードをチェックし、他のCA(認証局)が指定されている場合証明書を発行しません。
2017年9月8日の義務化以降、研究者たちは、CA(認証局)がCAAを適切にチェックしているかどうかを検証しました。
その結果、Comodoが誤った証明書を発行を発行していることが分かりました。
インシデントレポートによると、Comodoが利用していたスクリプトの「digコマンド」での「DNSSEC」と「BINDのバージョン」間のミスマッチが原因だったとのことです。
2017年9月13日にバグは修正され、誤発行された証明書は取消し済みです。