Rozšírenie ACME CAA sa stáva povinným.
26.6.2026 | Petra Salašová
CA/B Fórum, združenie popredných certifikačných autorít a tvorcov internetových prehliadačov, odhlasovalo, že počnúc marcom 2027 musia všetky certifikačné autority podporovať rozšírenie CAA záznamu ACME CAA. Ide o zásadný krok v ústrety bezpečnejšiemu, na kryptografii založenému overovaniu domén a vydávaniu TLS/SSL certifikátov. Ako táto novinka vystavovanie certifikátov ovplyvní a ako rozšírený CAA záznam vyzerá v praxi?
Ako sa stalo rozšírenie CAA záznamu povinným?
Chrome je dlhodobým zástancom automatizácie a jej podpora je centrálnou témou tzv. Root Programu, v ktorom Google vo februári 2026 začal podporu ACME CAA od autorít vyžadovať – práve s cieľom podpory ACME automatizácie. Následne v máji 2026 CA/Browser Fórum v balote SC-098v2 odhlasovalo rozšírenie podpory nového CAA záznamu medzi certifikačnými autoritami a od marca 2027 stanovuje všetkým autoritám podporu ACME CAA ako úplne povinnú.
Prečo bola zmena potrebná?
Súčasný systém fungovania web PKI je dostatočný pre bežné spôsoby použitia, teda pre zabezpečenie webových stránok, ktorým nehrozí vážna hrozba. Významné webové stránky však počas procesu získania certifikátu potrebujú byť zabezpečené lepšie. Hoci bol ekosystém web PKI vylepšovaný desiatky rokov a zakladá sa na prepracovaných pravidlách a kontrolách, v samotnom jadre naráža na dva problémy, ktoré síce celý proces zjednodušujú, ale sú vykúpené nižšími požiadavkami na bezpečnosť:
- Chýbajúca autentizácia žiadateľa: Ktokoľvek na svete môže požiadať o certifikát pre akúkoľvek doménu. Ak prejde procesom overenia domény, autorita certifikát žiadateľovi vydá aj bez autorizácie zo strany vlastníka domény.
- Zraniteľný overovací proces: Certifikačné autority pri žiadosti o certifikát bežne overujú vlastníctvo domény cez nezabezpečené DNS alebo bežný HTTP prenos. Ktokoľvek, kto môže zasiahnuť do overovacieho procesu, môže narušiť a podvrhnúť overenie domény.
Ako ACME CAA záznam vyzerá?
Vyššie menované slabiny web PKI možno vyriešiť použitím štandardu Certification Authority Authorization, alebo CAA, ktorý je navrhnutý tak, aby umožnil vlastníkom domén zverejniť ich zásady pre vydávanie certifikátov.
Základná verzia CAA štandardu je povinná už od septembra 2017. Tento klasický CAA záznam v DNS však iba umožňuje určiť, ktorá certifikačná autorita (napr. DigiCert) smie pre danú doménu certifikát vydať. Nové povinné ACME rozšírenie ide oveľa ďalej a umožňuje do záznamu pridať veľmi detailné podmienky. V praxi môže nový, rozšírený záznam vyzerať napr. takto:
example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"
Vľavo je názov domény, pre ktorú chceme mať vydávanie certifikátov pod kontrolou. Vpravo máme tri premenné:
- Prvá je názov CA, ktorá má povolené pre danú doménu certifikáty vydávať.
- Druhou premennou je inštrukcia "accounturi", ktorá vydávanie certifikátov obmedzuje iba na menovaný ACME účet. Pretože ACME vždy využíva šifrovanie a silnú kryptografickú autentizáciu, časť "accounturi" zaisťuje, že iba autorizovaní používatelia môžu požiadať certifikáty pre toto doménové meno. Môžete definovať presné ID alebo URL vášho ACME účtu u DigiCertu. Nikto iný – ani keby ovládol časť vašej siete – nedokáže pod vaším menom certifikát vygenerovať, pretože autorita požiadavku prijme len zo zašifrovaného a kryptograficky overeného účtu vlastníka.
- Tretia inštrukcia „validationmethods“ obmedzuje vydávanie certifikátov na použitie iba jednej validačnej metódy založenej na DNS. Aktívny DNSSEC (rozšírenie povinné od marca 2026) zaistí, že celé overenie prebehne výhradne kryptograficky bezpečne.
Vyššie uvedený záznam teda hovorí: Certifikát smie vydať DigiCert iba pre ACME účet č. 1726001367 a výhradne cez overenie pomocou DNS.
Čo táto novinka znamená pre vás?
Nové rozšírenie budú od budúceho roku musieť rešpektovať úplne všetky autority na trhu. Potom už bude závisieť len na vás, či a kedy si toto pokročilé bezpečnostné opatrenie v DNS nakonfigurujete.
