Az ACME CAA kiterjesztés kötelezővé válik

2026. jún. 26. | Petra Salašová

2027 márciusától minden hitelesítő hatóságnak támogatnia kell az ACME CAA kiterjesztést, ami fontos lépés a biztonságosabb, kriptográfián alapuló domain-hitelesítés felé. Mit jelent ez a TLS/SSL tanúsítványok kiadásában, és hogyan működik a kibővített CAA rekord a gyakorlatban?

Hogyan vált kötelezővé a CAA rekord kiterjesztése?

A Chrome régóta az automatizálás egyik támogatója, és ennek támogatása központi témája az úgynevezett Root Programnak is. A Google 2026 februárjában kezdte el megkövetelni az ACME CAA támogatását a hitelesítő hatóságoktól – éppen az ACME-alapú automatizálás támogatása érdekében. Ezt követően 2026 májusában a CA/Browser Fórum az SC-098v2 szavazás keretében elfogadta az új CAA rekord támogatásának kiterjesztését hitelesítő hatóságok (CA Certificate Authority) körében, és 2027 márciusától minden hitelesítő hatóság számára kötelezővé teszi az ACME CAA támogatását.

Miért volt szükség a változtatásra?

A web PKI jelenlegi működése elegendő a szokásos felhasználási módokhoz, vagyis azoknak a weboldalaknak a védelméhez, amelyek nincsenek kitéve komolyabb kockázatnak. A kiemelten fontos weboldalaknak azonban már a tanúsítvány megszerzésének folyamata során is magasabb szintű védelemre van szükségük. Bár a web PKI ökoszisztémája évtizedek óta fejlődik, és részletes szabályokra, valamint ellenőrzésekre épül, a működésének alapjaiban két problémába ütközik. Ezek ugyan egyszerűbbé teszik a teljes folyamatot, de ennek ára az alacsonyabb biztonsági követelményszint:

• A kérelmező hitelesítésének hiánya: Bárki a világon kérhet tanúsítványt bármelyik domainhez. Ha sikeresen teljesíti a domain-hitelesítő folyamatot, a hitelesítő hatóság a domain tulajdonosának jóváhagyása nélkül is kiadhatja számára a tanúsítványt.
• Sérülékeny ellenőrzési/hitelesítési folyamat: Tanúsítványigényléskor a hitelesítő hatóságok a domain tulajdonjogát gyakran nem védett DNS-en vagy hagyományos HTTP-forgalmon keresztül hitelesítik. Bárki, aki be tud avatkozni az hitelesítő folyamatba, megzavarhatja vagy akár meg is hamisíthatja a domain-hitelesítését.

Hogyan néz ki az ACME CAA rekord?

A web PKI fent említett gyengeségei a Certification Authority Authorization, azaz CAA szabvány alkalmazásával kezelhetők. A CAA célja, hogy a domain-tulajdonosok közzétehessék a tanúsítványkiadásra vonatkozó szabályaikat.

A CAA szabvány alapverziója már 2017 szeptembere óta kötelező. Ez a klasszikus DNS-ben elhelyezett CAA rekord azonban csak annak meghatározását teszi lehetővé, hogy melyik hitelesítő hatóság, például a DigiCert, adhat ki tanúsítványt az adott domainhez. Az új, kötelező ACME-kiterjesztés ennél jóval tovább megy, és lehetővé teszi, hogy nagyon részletes feltételeket adjunk meg a rekordban. A gyakorlatban az új, kibővített rekord például így nézhet ki:

example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"

Bal oldalon van a domain neve, amelyet a tanúsítványok kiadásához hitelesíteni szeretnénk. Jobb oldalon három változó található:

• Az első a CA neve, vagyis annak a hitelesítő hatóságnak a megnevezése, amely jogosult tanúsítványt kiadni az adott domainhez.
• A második paraméter az "accounturi" utasítás, amely a tanúsítványok kiadását kizárólag a megadott ACME-fiókra korlátozza. Mivel az ACME mindig titkosított kommunikációt és erős kriptográfiai hitelesítést használ, az "accounturi" rész biztosítja, hogy csak az arra jogosult felhasználók kérhessenek tanúsítványt ehhez a domainnévhez. Megadható a DigiCertnél vezetett ACME-fiók pontos azonosítója vagy URL-je. Más nem tud az Ön nevében tanúsítványt létrehozni – még akkor sem, ha hozzáférést szerezne a hálózata egy részéhez –, mert a hitelesítő hatóság csak a titkosított és kriptográfiailag hitelesített tulajdonosi fiókból érkező kérést fogadja el.
• A harmadik, „validationmethods” utasítás a tanúsítványok kiadását kizárólag egy DNS-alapú ellenőrzési módszer használatára korlátozza. Az aktív DNSSEC, vagyis a 2026 márciusától kötelező kiterjesztés biztosítja, hogy a teljes ellenőrzés kriptográfiailag biztonságos módon történjen.

A fenti rekord tehát ezt mondja ki: A DigiCert kizárólag az 1726001367-es számú ACME-fiókhoz adhat ki tanúsítványt, és csak DNS-alapú hitelesítéssel.

Mit jelent ez az újdonság az Ön számára?

Az új kiterjesztést jövő évtől a piacon működő összes hitelesítő hatóság figyelembe kell vennie. Ezt követően már csak Önön múlik, hogy mikor és hogyan konfigurálja ezt a fejlett biztonsági beállítást a DNS-ben.

Forrás: