CAA

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 22 jul 2021 om 16:21 (actueel en aanbevolen (na check bij forum))
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF


Standaarden
Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Aanbevolen
Naam
CAA
ID
Type

Standaard

Wijzigingsdatum
Laag Vijflaagsmodel
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: CAA


Controle over uitgifte van digitale certificaten

  • Nut: In de afgelopen jaren zijn er wereldwijd diverse incidenten geweest waarbij een partij PKI-certificaten kon aanvragen (en krijgen) voor andermans domeinen. Het ging hier met name om fouten in het uitgifteproces. Toepassing van de standaard CAA verkleint de kans dat iemand een certificaat kan aanvragen voor domeinen van bijvoorbeeld overheidsinstellingen of banken. De CAA-standaard biedt verder de mogelijkheid aan CA's om melding te maken van foutief aangevraagde certificaten. Hierdoor krijgen domeineigenaren meer inzicht in eventuele foutieve of frauduleuze aanvragen voor het domein.
  • Werking: CAA is een DNS-record dat domeineigenaren extra controle geeft over SSL-certificaten die worden uitgegeven voor diens domeinen. Met het CAA record geeft een domeineigenaar aan welke certificate authority (CA) certificaten uit mag geven voor diens domeinen. Een domein eigenaar kan dit zelf regelen zonder dat hier medewerking vanuit de CA voor nodig is. Zo kan de eigenaar van een domein zelf bepalen welke CA's certificaten mogen uitgeven voor zijn of haar domeinen. CA's moeten bij uitgifte van een certificaat verplicht het CAA record van het betreffende domein controleren. Het gebruik van CAA betekent overigens niet dat de gebruiker vastzit aan een CA.

CAA is alleen effectief als het DNS waarin het CAA-record geadministreerd wordt, is beschermd met DNSSEC. Zonder DNSSEC-bescherming kan een aanvaller het DNS-verkeer omleiden, waardoor het CAA-record niet meer effectief is. De CAA-specificatie (RFC 6844) adviseert dan ook uitdrukkelijk het gebruik van CAA in combinatie met DNSSEC. 


Waar toepasbaar

  • Functioneel toepassingsgebied:
  • Organisatorisch werkingsgebied:

Meer informatie

Realiseert

Lijst Open Standaarden - Aanbevolen

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

De omschrijving van het functionele gebruik van de voorziening

Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

Overgenomen van "https://www.noraonline.nl/index.php?title=CAA&oldid=53024"