Новость

29-08-17

Клиенты Symantec (а также GeoTrust, Thawte и RapidSSL) должны включить CAA в DNS-запись доменов

В соответствии с последними изменениями CAB Forum, регулятора SSL-индустрии, выпускающий удостоверяющий центр (Symantec, GeoTrust, Thawte или RapidSSL) должен быть указан в CAA DNS-записи домена.

Не так давно CA/F Forum постановил, что все удостоверяющие центры должны соответствовать требованию Certification Authority Authorization (CAA), касающемуся выпуску сертификатов. CAA позволяет владельцу домена указать удостоверяющий центр или центры, которые имеют право выпускать SSL/TLS сертификаты для этого домена. Это значительно снижает риск несанкционированного выпуска SSL/TLS-сертификатов для того или иного домена.

Как обновить DNS-запись для сертификатов Symantec

  1. Открываем для редактирования файл с CAA DNS зоной.
  2. Сразу под $ORIGIN symantecoffer.com добавляем строку . CAA 0 issue "symantec.com"
  3. Заходим в Symantec Trust Center и открываем вкладку Order Summary для проверки статуса сертификата. Если проверка завершена успешно, то все в порядке. Для Managed PKI for SSL – нужно связаться с вашим администратором для завершения проверки сертификата для домена.

Как обновить DNS-запись для сертификатов Thawte

  1. Открываем для редактирования файл с CAA DNS зоной.
  2. Сразу под $ORIGIN thawteoffer.com добавляем строку . CAA 0 issue "thawte.com"
  3. Заходим в Thawte Certificate Center (TCC) и открываем вкладку Order Summary для проверки статуса сертификата. Если проверка завершена успешно, то все в порядке.

Как обновить DNS-запись для сертификатов GeoTrust

  1. Открываем для редактирования файл с CAA DNS зоной.
  2. Сразу под $ORIGIN geotrustoffer.com добавляем строку . CAA 0 issue "geotrust.com"
  3. Заходим в GeoTrust Security Center и открываем вкладку Order Summary для проверки статуса сертификата. Если проверка завершена успешно, то все в порядке.

Как обновить DNS-запись для сертификатов RapidSSL

  1. Открываем для редактирования файл с CAA DNS зоной.
  2. Сразу под $ORIGIN rapidssl.com добавляем строку . CAA 0 issue "rapidssl.com"
  3. Заходим в RapidSSL Partner Center и открываем страницу Order Information для проверки статуса сертификата. Щелкаем по Recheck CAA. Если проверка завершена успешно, то все в порядке.

Еще одно изменение касается указания адресной информации в OV и EV SSL/TLS-сертификатах (а также в code signing сертификатах). Согласно этому изменению, согласующемуся с требованиями CA/B Forum, информация о штате/провинции (state/province) является необязательной, если указана местность (locality). 

Подробнее об этом изменении можно прочитать по ссылкам:

Мы заботимся о своих клиентах, предоставляя самую актуальную и свежую информацию обо всех изменениях в сфере SSL. Подписывайтесь на нашу рассылку, а также на группы в социальных сетях, чтобы всегда оставаться в курсе событий!

Заказывайте сертификаты Symantec только в LeaderSSL!