今年 1 月,CA/浏览器论坛同意延长 CAA 记录。Andreas Soll 解释了发生了什么变化。
自 9 月起,新的 CAA 记录“issuemail”已可用来控制 S/MIME 证书的颁发。S/MIME 的新 CAA 功能已在 RFC 9495 中正式化。
证书颁发机构授权 (CAA) 记录是一种域名服务器 (DNS) 资源记录,允许域所有者将 SSL/TLS 证书的颁发限制为特定的证书颁发机构 (CA)。
S/MIME 证书通常被称为电子邮件签名证书或个人身份验证证书。它们为 MIME 数据(例如电子邮件)提供端到端加密,确保发件人身份验证、消息完整性、机密性和数据安全。
CAA 条目中引入 S/MIME 基线要求现在提供了一种标准化的方式来定义颁发 S/MIME 证书的要求。这意味着您现在可以限制 CA(证书颁发机构)甚至完全禁止颁发 S/MIME 证书。
Questel 已经实现了此功能,并立即将其提供给我们的企业域名服务客户。其他 DNS 提供商必须在 2025 年 3 月 15 日之前实现此功能。从此日期起,支持此功能将成为强制性要求。
除了现有的 CAA 标签(如 issue、issuewild 和 iodef)之外,现在还使用新的 issuemail 标签来控制 S/MIME 证书的颁发。记录可能如下所示:
example.com CAA 0 issuemail“yourcertificateauthority.com”
在此示例中,仅证书颁发机构 yourcertificateauthority.com 被允许颁发 S/MIME 证书。
如果您想完全禁止颁发证书,可以使用以下配置:
example.com CAA 0 发行邮件“;”
在此示例中,不允许任何人为域 example.com 颁发 S/MIME 证书。
有关变更的更多信息,请联系Questel Domains 团队
