Con la introducción de SSL y TLS, la navegación web ha sido cada vez más segura gracias a que los certificados pueden verificar si una web a la que nos estamos conectando es o no segura, pudiendo estar tranquilos de que la información que introduzcamos va a estar a salvo. Cada vez más páginas cuentan con HTTPS, y hacerlo cada vez más seguro es una tarea primordial.
Certificados en un registro de DNS
Por ello, en 2013 el registro de DNS en la Certification Authority Authorization (CAA) se convirtió en un estándar, pero no tuvo mucha repercusión porque las autoridades emisoras de certificados (CA) no tenían la obligación de atenerse a sus reglas. Este
Para limitar esto, el registro de la CAA buscará limitar quien puede emitir certificados a un dominio. Por ejemplo, el siguiente registro quiere decir que Google autoriza a Symantec para emitirlos para su dominio principal.
google.com. 86400 IN CAA 0 issue «symantec.com»
En marzo se aprobó que este registro sea obligatorio a partir del 8 de septiembre, y las autoridades de emisión de certificados que no cumplan con esto, estarán violando las leyes de la industria y se arriesgarán a recibir sanciones. Además, los dueños de los dominios deberán especificar una dirección de email o una URL donde la autoridad de emisión de certificados pueda reportar problemas de emisión que vayan en contra de la política de la CAA.
Por ejemplo, si una autoridad recibe una solicitud de un certificado para un dominio que ya tiene un registro que autoriza a otra autoridad diferente a emitir certificados, la primera autoridad deberá reportar actividad sospechosa en ese email o dirección especificada. La alerta llegará al dueño del dominio de que alguien está intentando obtener un certificado sin su autorización. Aunque esto no sea una manera definitiva de acabar con los certificados falsos, sí que constituye una nueva capa de defensa frente a estos.
