Дополнительная проверка САА перед выпуском S/MIME сертификата

15 сентября 2024 года по рекомендациям CA/B Forum была добавлена дополнительная проверка CAA при выпуске S/MIME сертификатов. В связи с этим центрам сертификации необходимо проводить проверку DNS CAA клиентов, в ходе которой проверяется наличие тега свойства «issuemail». Если в клиентском домене будет обнаружен тег данного свойства, то S/MIME сертификаты смогут выдавать лишь перечисленные в этом теге центры сертификации. Если же данная запись будет отсутствовать, то любые центры сертификации смогут выпускать необходимые для вас сертификаты.

Как это повлияет на меня?

Это изменение не касается уже ныне выпущенных S/MIME сертификатов, однако будет применяться к новым, перевыпущенным и продленным сертификатам. При желании ограничить выпуск S/MIME лишь для GlobalSign, вы можете установить тег «issuemail» и разрешить использование «Globalsign.com» в вашей конфигурации DNS. Учтите, что должно пройти до 48 часов после добавления тега до того, как «GlobalSign» начнет определяться как авторизованный центр сертификации.

Пример записи DNS данного параметра:

CAA 0 issuemail "Globalsign.com"

Если же вы не желаете изменять настройки DNS, то никаких дополнительных действий не требуется.

Если у вас возникнут вопросы или вам нужна помощь с изменением тега, вы можете обратиться к нам по адресу info@leaderssl.ru или позвонить нам по номеру 8(800) 555-5737.