S/MIME에 대한 새로운 CAA 기능: 알아야 할 사항

올해 1월, CA/브라우저 포럼은 CAA 레코드를 확장하기로 합의했습니다. Andreas Soll이 무엇이 바뀌었는지 설명합니다.

9월부터 새로운 CAA 레코드 "issuemail"이 S/MIME 인증서 발급을 제어하는 데 사용 가능해졌습니다. S/MIME에 대한 새로운 CAA 기능은 RFC 9495에서 공식화되었습니다.

• CAA 기록이란 무엇입니까?

CAA(인증 기관 승인) 레코드는 도메인 소유자가 SSL/TLS 인증서 발급을 특정 인증 기관(CA)으로 제한할 수 있도록 하는 일종의 도메인 이름 서버(DNS) 리소스 레코드입니다.

• S/MIME이란 무엇인가요?

S/MIME 인증서는 종종 이메일 서명 인증서 또는 개인 인증 인증서라고도 합니다. 이는 이메일 메시지와 같은 MIME 데이터에 대한 종단 간 암호화를 제공하여 발신자 인증, 메시지 무결성, 기밀성 및 데이터 보안을 보장합니다.

• 새로운 "issuemail" CAA는 어떤 영향을 미칩니까?

CAA 항목에 S/MIME 기준 요구 사항을 도입함으로써 이제 S/MIME 인증서 발급 요구 사항을 정의하는 표준화된 방법이 제공됩니다. 즉, 이제 CA(인증 기관)를 제한하거나 S/MIME 인증서 발급을 완전히 금지할 수 있습니다.

• 내 공급업체에서 이 기능을 찾을 수 없습니다. 언제부터 사용할 수 있나요?

Questel은 이미 이 기능을 구현했으며 기업 도메인 서비스 고객에게 즉시 제공하고 있습니다. 다른 DNS 제공자는 2025년 3월 15일까지 이를 구현해야 합니다. 이 날짜부터 이 기능을 지원하는 것이 필수가 됩니다.

• 기록은 어떻게 되어 있나요?

issue, issuewild, iodef와 같은 기존 CAA 태그 외에도 새로운 issuemail 태그가 이제 S/MIME 인증서 발급을 제어하는 데 사용됩니다. 레코드는 다음과 같습니다.

example.com CAA 0 issuemail "yourcertificateauthority.com"

이 예에서는 인증 기관 yourcertificateauthority.com만 S/MIME 인증서를 발급할 수 있습니다.

인증서 발급을 완전히 금지하려면 다음과 같이 구성하면 됩니다.

example.com CAA 0 issuemail ";"

이 예에서는 아무도 example.com 도메인에 대한 S/MIME 인증서를 발급할 수 없습니다.

변경 사항에 대한 자세한 내용은 Questel Domains 팀 에 문의 하세요.