CAA pour les certificats de messagerie à partir de septembre 2024

À partir de septembre 2024, les entrées CAA dans le DNS seront également vérifiées lors de l'émission de certificats de courrier électronique.

Nous souhaitons souligner le changement suivant concernant les entrées CAA dans le DNS :

Contexte

Le DNS "Certificate Authority Authorization" (CAA) utilise le système de noms de domaine (DNS). CAA a pour objectif de permettre au propriétaire d'un domaine d'autoriser certaines autorités de certification (CA) à délivrer un certificat pour le domaine en question. Les enregistrements CAA dans DNS sont facultatifs.

Pour plus de détails techniques, voir IETF RFC 8659 et IETF RFC 9495.

Quoi de neuf?

SwissSign vérifie déjà les entrées CAA lors de l'émission de certificats SSL/TLS. À partir de septembre 2024, les entrées CAA seront également vérifiées lors de l'émission de certificats de courrier électronique ou S/MIME conformément à la nouvelle IETF RFC 9495 (techniquement : « issuemail property »).

Nota bene : les entrées CAA pour l’émission de certificats TLS et de courrier électronique sont indépendantes les unes des autres. Une entrée CAA pour TLS ne s'applique pas à S/MIME et vice versa.

Que dois-je faire en tant que client ?

Dans la plupart des cas, aucun ajustement ne sera nécessaire de votre part, sauf si vous avez effectué une entrée CAA dans le DNS avec une entrée 'issuemail'. Dans ce cas, vous devrez peut-être compléter celui-ci pour qu'il contienne l'entrée «swissssign.com», par exemple 'mail.client.example CAA 0 issuemail "swisssign.com"'.

Nous serons heureux de répondre à toutes vos questions.

 

Meilleures salutations

Votre équipe SwissSign