Проверка CAA с сентября 2017 станет обязательной для всех удостоверяющих центров при выпуске SSL/TLS-сертификатов

По существующим правилам, утвержденным CA/B Forum, удостоверяющие центры должны гарантировать, что запросы на SSL-сертификаты идут либо от самого владельцев домена, либо от тех, кто управляет данным доменом.

Обычно проверка прав на домен происходит с помощью создания DNS TXT-записи с определенным значением либо загрузки кода в определенное место сайта. Это и подтверждает факт владения доменом.

При этом взлом сайта порой позволяет злоумышленникам пройти подобные проверки и получить доверенный сертификат для домена от любого удостоверяющего центра. Этот сертификат нередко применяется для атак man-in-the-middle или перенаправления пользователей на фишинговые страницы. Справиться с этим позволяет введение CAA.

Подробнее о проверке CAA вы можете прочитать в статье по ссылке.