กระบวนการออกใบรับรองดิจิตอลทุกวันนี้มีช่องว่างสำคัญคือหน่วยงานออกใบรับรองดิจิตอล (certification authority - CA) ทุกรายสามารถออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ตอนนี้มาตรการเพิ่มเติมในการจำกัดสิทธิ์ของ CA ก็เตรียมบังคับใช้เดือนกันยายนนี้ หลังการโหวตมาตรฐาน Certification Authority Authorization (CAA) โดย CA/Browser Forum ผ่านไปแล้ว
CAA เป็นมาตรฐาน rfc6844 มาตั้งแต่ปี 2013 ระบุให้เจ้าของโดเมนสามารถล็อก CA ที่จะออกใบรับรองให้กับโดเมนของตนได้ ผ่าน Resource Record (RR) ใน DNS เช่น example.org. CAA 128 issue "letsencrypt.org" จะล็อกให้ Let's Encrypt เท่านั้นที่สามารถออกใบรับรองให้กับ example.com ได้
CAA มีความคล้ายกับ HPKP ที่ล็อก CA เช่นเดียวกัน แต่ HPKP นั้นล็อกจากฝั่งเบราว์เซอร์ที่จะไม่ยอมรับใบรับรองจาก CA รายอื่นที่ไม่ได้ระบุไว้ HPKP มีผลดีกว่ามากคือสามารถป้องกันปัญหาได้ทั้งกรณีเจ้าของโดเมนผิดพลาด เช่น เปิดทางให้ผู้ใช้บนเว็บเข้าอีเมลหรืออัพโหลดไฟล์ตรวจสอบได้ รวมไปถึงการป้องกัน CA ที่ตรวจสอบความเป็นเจ้าของโดเมนผิดพลาดเอง แต่ HPKP คอนฟิกได้ยากและหากผิดพลาดก็จะมีผลร้ายแรง คือเบราว์เซอร์อาจจะไม่ยอมรับเว็บที่ถูกต้องจนกว่าค่า HPKP จะหมดอายุไปเลย CAA นั้นช่วยลดความเสี่ยงได้แต่ช่วยแจ้ง CA ที่ไม่อยู่ในรายการไม่ออกใบรับรองโดยไม่ตั้งใจ
ผลการลงมติบังคับ CAA มีผลเกือบเอกฉันท์ มีเพียง Sertifitseerimiskeskus จากเอสโทเนียเท่านั้นที่โหวตคัดค้าน และจะมีผลเดือนกันยายนนี้ ตอนนี้ทาง Qualys SSL Labs ก็รายงานแล้วว่าเว็บใดบ้างที่เปิด CAA เอาไว้ (ตัวอย่าง Google.com)
ที่มา - Qualys Blog