L'estensione ACME CAA diventa obbligatoria

26/giu/2026 | Petra Alm

CA/B Fórum, sdružení předních certifikačních autorit a tvůrců internetových prohlížečů, odhlasovalo, že počínaje březnem 2027 musí všechny certifikační autority podporovat rozšíření CAA záznamu ACME CAA. Jedná se o zásadní krok vstříc bezpečnějšímu, na kryptografii založenému ověřování domén a vydávání TLS/SSL certifikátů. Jak tato novinka vystavování certifikátů ovlivní a jak rozšířený CAA záznam vypadá v praxi?

Come è diventata obbligatoria l'espansione dei record CAA?

Chrome è un sostenitore di lunga data dell'automazione e il suo supporto è un tema centrale del cosiddetto Programma Root, nel quale Google nel febbraio 2026 ha iniziato a richiedere il supporto ACME CAA dalle autorità – con l'obiettivo di supportare l'automazione ACME. Poi, nel maggio 2026, il Forum CA/Browser nel voto SC-098v2 ha votato l'espansione del supporto del nuovo record CAA tra le autorità di certificazione e da marzo 2027 stabilisce il supporto ACME CAA come completamente obbligatorio per tutte le autorità.

Perché era necessario il cambiamento?

Il sistema attuale del funzionamento del web PKI è sufficiente per i modi di utilizzo comuni, ossia per proteggere i siti web che non affrontano minacce serie. Tuttavia, i siti web significativi necessitano di essere meglio protetti nel processo di ottenimento di un certificato. Sebbene l'ecosistema del web PKI sia stato migliorato per decenni e si basi su regole e controlli sofisticati, nella sua essenza incontra due problemi che semplificano l'intero processo, ma sono riscattati da requisiti di sicurezza inferiori:

• Autenticazione del richiedente mancante: Chiunque al mondo può richiedere un certificato per qualsiasi dominio. Se supera il processo di verifica del dominio, l'autorità rilascia il certificato al richiedente anche senza autorizzazione da parte del proprietario del dominio.
• Processo di verifica vulnerabile: Le autorità di certificazione, nel richiedere un certificato, verificano comunemente la proprietà del dominio attraverso DNS non sicuro o traffico HTTP comune. Chiunque possa intervenire nel processo di verifica può interrompere e falsificare la verifica del dominio.

Come appare il record ACME CAA?

Le debolezze sopra menzionate del web PKI possono essere risolte utilizzando lo standard di Autorizzazione dell'Autorità di Certificazione, o CAA, che è progettato per consentire ai proprietari dei domini di pubblicare le loro politiche di emissione dei certificati.

La versione di base dello standard CAA è obbligatoria già da settembre 2017. Tuttavia, questo classico record CAA nel DNS consente solo di determinare quale autorità di certificazione (ad esempio, DigiCert) può emettere un certificato per il dominio indicato. La nuova estensione obbligatoria di ACME va molto oltre e consente di aggiungere condizioni molto dettagliate al record. In pratica, il nuovo record esteso potrebbe apparire così:

example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"

A sinistra c'è il nome del dominio per il quale vogliamo avere l'emissione dei certificati sotto controllo. A destra abbiamo tre variabili:

• La prima è il nome della CA, che è autorizzata a emettere certificati per il dominio indicato.
• La seconda variabile è l'istruzione "accounturi", che limita l'emissione dei certificati solo all'account ACME nominato. Poiché ACME utilizza sempre la crittografia e l'autenticazione crittografica forte, la parte "accounturi" garantisce che solo gli utenti autorizzati possano richiedere certificati per questo nome di dominio. Puoi definire l'ID o l'URL del tuo account ACME presso DigiCert. Nessun altro – anche se controllasse una parte della tua rete – riuscirebbe a generare un certificato a tuo nome, poiché l'autorità accetterà la richiesta solo da un account criptato e autenticato crittograficamente del proprietario.
• La terza istruzione „validationmethods“ limita l'emissione dei certificati all'utilizzo di un solo metodo di validazione basato su DNS. Il DNSSEC attivo (estensione obbligatoria da marzo 2026) garantisce che l'intera verifica venga effettuata esclusivamente in modo crittograficamente sicuro.

Il record sopra descritto stabilisce dunque: DigiCert può emettere un certificato solo per l'account ACME n. 1726001367 ed esclusivamente attraverso la verifica tramite DNS.

Cosa significa questa novità per te?

Le nuove estensioni dovranno essere rispettate da tutte le autorità sul mercato dall'anno prossimo. Dopo di che dipenderà solo da te se e quando configurerai questa misura avanzata di sicurezza nel DNS.

Fonte: