Naar de inhoud Naar de navigatie

CAA


Deze pagina wordt beheerd door Forum Standaardisatie, zie: https://www.forumstandaardisatie.nl/open-standaarden/Caa

Beschrijving

Status

Lijst status Aanbevolen
Functioneel toepassingsgebied
Organisatorisch werkingsgebied Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
Aanvullende verplichtingen
Europese status (MSP)Nee

Nut en werking

Typering Controle over uitgifte van digitale certificaten
Nut In de afgelopen jaren zijn er wereldwijd diverse incidenten geweest waarbij een partij PKI-certificaten kon aanvragen (en krijgen) voor andermans domeinen. Het ging hier met name om fouten in het uitgifteproces. Toepassing van de standaard CAA verkleint de kans dat iemand een certificaat kan aanvragen voor domeinen van bijvoorbeeld overheidsinstellingen of banken. De CAA-standaard biedt verder de mogelijkheid aan CA's om melding te maken van foutief aangevraagde certificaten. Hierdoor krijgen domeineigenaren meer inzicht in eventuele foutieve of frauduleuze aanvragen voor het domein.
Werking CAA is een DNS-record dat domeineigenaren extra controle geeft over SSL-certificaten die worden uitgegeven voor diens domeinen. Met het CAA record geeft een domeineigenaar aan welke certificate authority (CA) certificaten uit mag geven voor diens domeinen. Een domein eigenaar kan dit zelf regelen zonder dat hier medewerking vanuit de CA voor nodig is. Zo kan de eigenaar van een domein zelf bepalen welke CA's certificaten mogen uitgeven voor zijn of haar domeinen. CA's moeten bij uitgifte van een certificaat verplicht het CAA record van het betreffende domein controleren. Het gebruik van CAA betekent overigens niet dat de gebruiker vastzit aan een CA. CAA is alleen effectief als het DNS waarin het CAA-record geadministreerd wordt, is beschermd met DNSSEC. Zonder DNSSEC-bescherming kan een aanvaller het DNS-verkeer omleiden, waardoor het CAA-record niet meer effectief is. De CAA-specificatie (RFC 6844) adviseert dan ook uitdrukkelijk het gebruik van CAA in combinatie met DNSSEC. 
Relatie met andere FS-Standaarden
    Domein

    Veilig internet

    TrefwoordenNetwerk,Website,Informatiebeveiliging
    Gangbaar

    Detailinformatie

    Volledige naamCertification Authority Authorization Resource Record
    VersieRFC 8659
    Specificatiedocumenthttps://tools.ietf.org/html/rfc8659
    BeheerorganisatieIETF

    Toepassing

    Community
    Implementatiehulpmiddelen
    Conformiteitstest
    Praktijkvoorbeelden

    Toetsingsinformatie

    Toelichting bij opname lijst Forum StandaardisatieToepassing van de standaard CAA verkleint de kans dat iemand onterecht een certificaat kan verkrijgen voor domeinen van bijvoorbeeld overheidsinstellingen of banken. CAA heeft echter ook beperkingen, het gaat uit van het vertrouwen in de CA: een kwaadwillende CA kan CAA immers ook negeren. De suggestie kan worden gewekt dat CAA voldoende bescherming biedt maar dit is slechts beperkt en dat CAA hiervoor het enige middel is, wat niet het geval is. Gegeven de onderzochte beperkte toegevoegde waarde van de standaard is een aanbevolen standaard een passend middel om adoptie te bevorderen.
    Adoptieadviezen* Aan Logius: Maak een implementatiehandleiding (met voorbeeld) hoe op de juiste manier een CAA-record opgenomen kan worden voor PKI-overheidscertificaten, met de duidelijke verwijzing naar de te gebruiken referenties. Beschrijf daarbij ook de verschillende mogelijkheden en de implicaties van die mogelijkheden. Maak duidelijk wat de mogelijke consequentie(s) is (zijn) bij het foutief configureren van een CAA-record. Zoals bijvoorbeeld dat het heruitgeven of verlengen van een certificaat door dezelfde CA geblokkeerd worden.
    • Aan Internet.nl: Voeg de mogelijkheid op controle van een CAA-record toe op Internet.nl.
    • Aan alle overheden: Hanteer bij de implementatie van CAA de beveiligingsadviezen van het NCSC.
    • Aan DPC:Zodra internet.nl op CAA-ondersteuning kan testen en de standaard op de lijst aanbevolen standaarden staat: Breid de gepubliceerde testresultaten in het publieke websiteregister van de Rijksoverheid (http://websiteregisterrijksoverheid.nl/) uit met CAA- scores
    Uitstekend beheerNee
    Aanmelder
    Documentatie voor opname lijst Forum Standaardisatie
      Datum van aanmelding2018-10-28
      Datum van besluit OBDO2020-07-09

      Overig

      Waarvoor geldt de verplichting
      Toelichting relatie met andere FS-standaarden
      Aandachtspunten
      Advies aan beheerder
      Sjabloon-bestektekst
      CPV-code(s)
      Leveranciers

      Documentatie

      DocumentFunctieLink
      Consultatiedocument-CAA.pdfConsultatiehttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/CAA/Consultatiedocument-CAA.pdf
      Expertadvies-CAA.pdfExpertadvieshttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/CAA/Expertadvies-CAA.pdf
      FS181212.3B-Intakeadvies-CAA.pdfIntakeadvieshttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/CAA/FS181212.3B-Intakeadvies-CAA.pdf
      Forumadvies-CAA.pdfForumadvieshttps://www.forumstandaardisatie.nl/sites/default/files/2020-06/Forumadvies-CAA.pdf
      Copyright
      Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

      De functioneel inhoudelijke afbakening van bepaalde artefacten.

      Naar de pagina met de definitie van ‘toepassingsgebied’

      De geografische of organisatorische afbakening waarin iets uitwerking heeft.

      Naar de pagina met de definitie van ‘werkingsgebied’

      Vaststaand, erkend voorbeeld of model.

      Naar de pagina met de definitie van ‘standaard’

      Een verzoek vanuit een afnemer aan een dienstverlener waarmee een beroep wordt gedaan op de ondersteuning van een voorziening.

      Naar de pagina met de definitie van ‘melding’

      Samenhangend geheel van dingen in de werkelijkheid.

      Naar de pagina met de definitie van ‘domein’

      Een natuurlijke persoon die iets gebruikt.

      Naar de pagina met de definitie van ‘gebruiker’

      Datgene wat je aanwendt om een doel te bereiken.

      Naar de pagina met de definitie van ‘middel’

      De betekenis of het belang dat aan iets wordt toegekend.

      Naar de pagina met de definitie van ‘waarde’

      De hulp die de afnemer ontvangt van de dienstverlener bij het benutten van de dienst.

      Naar de pagina met de definitie van ‘ondersteuning’

      Alle handelingen die relevant zijn voor het instandhouden van iets.

      Naar de pagina met de definitie van ‘beheer’
      Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Caa&oldid=98616"