ニュースソース:digicert blog
以下は 2017年3月13日に Jeremy Rowley によって公開されたNew CAA Requirement: What You Should Know の「Where Do We Stand?」セクションを要約したものです。
CAAの運用にはいくつか解決すべき問題点が残っていますが、DigiCertはCA/ブラウザフォーラムでのCAA義務化に賛成しました。
DigiCert は当初、CAAの運用において処理時間とCPU使用率を懸念していました。
しかしテストでは、CAAレコードチェックが平均7ミリ秒以内に完了しました。多くのドメインには5つ以上のラベルがあるかもしれませんが、それでも35ミリ秒で完了します。
2番目の問題点は、DNSオペレータが証明書発行について権限を持つようになるというものです。
CAAレコードはDNSオペレータによって設定されますが、オペレータが証明書に関する法的合意やこれまでの経緯を無視し、すべての証明書をブロックする可能性もあります。
しかし、現時点でCAAレコードが採用されているケースが非常に低率であること、CAAレコードの追加が高度な技術を要することから、現実的には「悪意のある攻撃は十分に緩和されるであろう」と判断しました。
CAAレコードチェックは、組織認証(OV)証明書を取得する際に必要となる認可ステップと重複する部分があります。OV検証プロセスでも、証明書発行が承認されていることを確認します。
CAAでは、この承認が直接DNSに追加されます。これにより、検証が不十分とされているドメイン認証(DV)証明書の誤発行がなくなることを期待します。
CAAの採用をブラウザが支持したことを高く評価します。
CAAの採用は、証明書所有者を特定する必要性、および証明書を取得する証明書所有者の権限を認識するための重要なステップです。
CAAチェックは、DNSを介してこの権限チェックを追加する素晴らしい技術的方法です。
DigiCertはCAAのようなより堅牢なOVチェックを証明書の他のSubject情報フィールドに導入するための創造的な方法も希望しています。
CAAは、証明書所有者の身元と証明書所有者の承認が暗号化同様に重要であることを明確に示しています。
CAAでDigiCertを指定する場合は、以下のように記載ください。
example.org CAA 1 issue ‘digicert.com’