Rozšíření ACME CAA se stává povinným

26. 6. 2026 | Petra Salašová

CA/B Fórum, sdružení předních certifikačních autorit a tvůrců internetových prohlížečů, odhlasovalo, že počínaje březnem 2027 musí všechny certifikační autority podporovat rozšíření CAA záznamu ACME CAA. Jedná se o zásadní krok vstříc bezpečnějšímu, na kryptografii založenému ověřování domén a vydávání TLS/SSL certifikátů. Jak tato novinka vystavování certifikátů ovlivní a jak rozšířený CAA záznam vypadá v praxi?

Jak se stalo rozšíření CAA záznamu povinným?

Chrome je dlouholetým zastáncem automatizace a její podpora je centrálním tématem tzv. Root Programu, ve kterém Google v únoru 2026 začal podporu ACME CAA po autoritách vyžadovat – právě s cílem podpory ACME automatizace. Poté v květnu 2026 CA/Browser Fórum v balot SC-098v2 odhlasovalo rozšíření podpory nového CAA záznamu mezi certifikačními autoritami a od března 2027 stanovuje všem autoritám podporu ACME CAA jako zcela povinnou.

Proč bylo změny třeba?

Stávající systém fungování web PKI je dostačující pro běžné způsoby užití, tedy pro zabezpečení webových stránek, kterým nehrozí vážná hrozba. Významné webové stránky však během procesu získání certifikátu potřebují být zabezpečeny lépe. Ačkoliv byl ekosystém web PKI vylepšován desítky let a zakládá se na propracovaných pravidlech a kontrolách, v samotném jádru naráží na dva problémy, které sice celý proces zjednodušují, ale jsou vykoupeny nižšími požadavky na bezpečnost:

• Chybějící autentizace žadatele: Kdokoliv na světě může požádat o certifikát pro jakoukoliv doménu. Pokud projde procesem ověření domény, autorita certifikát žadateli vydá i bez autorizace ze strany vlastníka domény.
• Zranitelný ověřovací proces: Certifikační autority při žádosti o certifikát běžně ověřují vlastnictví domény přes nezabezpečené DNS nebo běžný HTTP provoz. Kdokoli, kdo může zasáhnout do ověřovacího procesu, může narušit a podvrhnout ověření domény.

Jak ACME CAA záznam vypadá?

Výše jmenované slabiny web PKI lze vyřešit užitím standardu Certification Authority Authorization, neboli CAA, který je navržen tak, aby umožnil vlastníkům domén zveřejnit jejich zásady pro vydávání certifikátů.

Základní verze CAA standardu je povinná již od září 2017. Tento klasický CAA záznam v DNS nicméně pouze umožňuje určit, která certifikační autorita (např. DigiCert) smí pro danou doménu certifikát vydat. Nové povinné ACME rozšíření jde mnohem dál a umožňuje do záznamu přidat velmi detailní podmínky. V praxi může nový, rozšířený záznam vypadat např. takto:

example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"

Vlevo je název domény, pro kterou chceme mít vydávání certifikátů pod kontrolou. Vpravo máme tři proměnné:

• První je název CA, které má povoleno pro danou doménu certifikáty vydávat.
• Druhou proměnnou je instrukce "accounturi", která vydávání certifikátů omezuje pouze na jmenovaný ACME účet. Protože ACME vždy využívá šifrování a silnou kryptografickou autentizaci, část "accounturi" zajišťuje, že pouze autorizovaní uživatelé mohou požadovat certifikáty pro toto doménové jméno. Můžete definovat přesné ID nebo URL vašeho ACME účtu u DigiCertu. Nikdo jiný – ani kdyby ovládl část vaší sítě – nedokáže pod vaším jménem certifikát vygenerovat, protože autorita požadavek přijme jen ze zašifrovaného a kryptograficky ověřeného účtu majitele.
• Třetí instrukce „validationmethods“ omezuje vydávání certifikátů na užití pouze jedné validační metody založené na DNS. Aktivní DNSSEC (rozšíření povinné od března 2026) zajistí, že celé ověření proběhne výhradně kryptograficky bezpečně.

Výše uvedený záznam tedy říká: Certifikát smí vydat DigiCert pouze pro ACME účet č. 1726001367 a výhradně přes ověření pomocí DNS.

Co tato novinka znamená pro vás?

Nové rozšíření budou od příštího roku muset respektovat úplně všechny autority na trhu. Poté už bude záležet jen na vás, zda a kdy si toto pokročilé bezpečnostní opatření v DNS nakonfigurujete.

Zdroj:

ACME CAA Extensions to Become Mandatory

---