Over de standaard

Beschrijving

Controle over uitgifte van digitale certificaten

Lijst status
In behandeling

Uitleg

Nut

In de afgelopen jaren zijn er wereldwijd diverse incidenten geweest waarbij een partij PKI-certificaten kon aanvragen (en krijgen) voor andermans domeinen. Het ging hier met name om fouten in het uitgifteproces. Toepassing van de standaard CAA verkleint de kans dat iemand een certificaat kan aanvragen voor domeinen van bijvoorbeeld overheidsinstellingen of banken. Hiermee kunnen met name man-in-the-middle (MitM) aanvallen worden voorkomen. De CAA-standaard biedt verder de mogelijkheid aan CA's om melding te maken van foutief aangevraagde certificaten. Hierdoor krijgen domeineigenaren meer inzicht in eventuele foutieve of frauduleuze aanvragen voor het domein.

Werking

CAA is een DNS-record dat domeineigenaren extra controle geeft over SSL-certificaten die worden uitgegeven voor diens domeinen. Met het CAA record geeft een domeineigenaar aan welke certificate authority (CA) certificaten uit mag geven voor diens domeinen. Een domein eigenaar kan dit zelf regelen zonder dat hier medewerking vanuit de CA voor nodig is. Zo kan de eigenaar van een domein zelf bepalen welke CA's certificaten mogen uitgeven voor zijn of haar domeinen. CA's moeten bij uitgifte van een certificaat verplicht het CAA record van het betreffende domein controleren. Het gebruik van CAA betekent overigens niet dat de gebruiker vastzit aan een CA.

Trefwoorden
Beveiliging
Netwerk
Website

Detailinformatie

Beheerorganisatie
IETF
Volledige naam
Certification Authority Authorization Resource Record
Version
1.0

Implementatie

Toetsingsinformatie

Organisatorisch werkingsgebied

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.

Toelichting bij opname

CAA is door Logius (PKI Overheid) aangemeld voor opname op de lijst verplichte standaarden (pas-toe-of-leg-uit ). De toetsing van CAA is op dit moment in behandeling.

Datum van aanmelding
2018-10-28