ACME CAA扩展将变为强制要求

# ACME CAA 扩展将成为强制要求 来源：https://www.feistyduck.com/newsletter/issue_137_acme_caa__extensions_to_become_mandatory ### 密码学与安全通讯 (https://www.feistyduck.com/bulletproof-tls-newsletter/) > **Feisty Duck 的密码学与安全通讯** 是一份定期发布的简报，为您带来关于密码学、安全、隐私、SSL/TLS 和 PKI 的评论和新闻。它旨在让您了解该领域的最新发展。每月有超过 50,000 名订阅者阅读。**作者：Ivan Ristić (https://blog.ivanristic.com/)。** CA/Browser Forum 已投票决定，从 2027 年 3 月起，ACME CAA 扩展将成为强制要求。这一变化是在 Web PKI 中实现强加密验证的域名验证所需的最后几块拼图之一。在本文中，我们将讨论为什么 Web PKI 无法为高知名度网站提供足够的保障，以及如何将 DNSSEC、ACME 和 CAA 结合起来实现证书颁发的强加密验证。 *本文最初发表于 Red Sift 博客 (https://redsift.com/blog)。它是我关于高保证证书透明度监控 (https://redsift.com/guides/a-guide-to-high-assurance-certificate-transparency-monitoring) 的更大工作的一部分，该项目旨在监控我们朝着强加密域名验证取得的进展。我们快到了！* ### DNSSEC 与 Web PKI 的融合 并非所有人都喜欢 DNSSEC，但它提供了我们无法从其他地方获得的重要安全功能。在其域名上启用 DNSSEC 的公司可以实现 DNS 解析的完整性。有些人认为 Web PKI 运行良好，确实如此，但仅适用于常见用例：保护那些不面临严重威胁的网站。高知名度网站需要更好的安全性。 长期以来，DNSSEC 的支持者认为它可以取代 Web PKI。他们的想法是，一旦你实现了 DNS 解析的完整性，你就获得了一种安全属性，可以在此基础上构建 X.509 证书，而无需证书颁发机构 (CA)。这在理论上是正确的，但在实践中，DNSSEC 存在各种设计和运营问题，使其难以广泛采用。因此，经过多年，其支持率远未达到所需水平，但 Web PKI 和 CA 将继续存在。 尽管如此，需要强大公共 X.509 安全性的组织别无选择，只能部署 DNSSEC 以利用其独特功能。 2025 年，管理证书颁发的机构 CA/Browser Forum 决定将 DNSSEC 验证 (https://www.feistyduck.com/newsletter/issue_126_internet_pki_to_integrate_dnssec) 纳入域名验证过程。该要求于 2026 年 3 月成为强制性要求，并首次实现了证书颁发的强加密验证。 ### Web PKI 根部的弱点 Web PKI 是管理最严格的公共 PKI，拥有精密的规则和控制。这是一个我们花费数十年时间改进的生态系统。然而，其核心存在两个重大问题。它们使系统更易于使用，但我们为此付出了安全要求降低的代价。 - 首先，**证书请求者没有身份验证**。世界上的任何人都可以为任何域名请求证书；如果验证过程成功，即使域名所有者未授权，证书也会颁发给请求者。 - 其次，当请求证书时，**CA 会通过不安全的 BGP、DNS 和网络流量执行域名验证**。任何能够干扰这三者之一的人都可能破坏域名验证。 如果我们将 DNSSEC 加入其中，这有助于保护 DNS 安全，但剩余的两个方面（BGP 和明文网络流量）仍然不安全。为了确保此设置的安全，我们需要一种方法来确保我们的域名验证仅依赖于安全的部分。 ### 证书颁发机构授权 可以通过使用名为*证书颁发机构授权* (CAA) 的标准来解决 Web PKI 中的弱点，该标准在 RFC 8659 (https://datatracker.ietf.org/doc/html/rfc8659) 中定义。CAA 旨在使域名所有者能够发布其证书颁发策略。 CAA 的基本版本自 2017 年 9 月起已成为强制要求，但这不足以满足我们的需求。还有另一份文档 (RFC 8657 (https://datatracker.ietf.org/doc/rfc8657/))，它桥接了用于自动证书颁发的 ACME 协议和 CAA，增加了对细粒度权限的支持。 借助 ACME CAA 扩展，我们可以解决我们之前概述的两个问题，只需在我们的 DNS 中使用一个 CAA 资源记录，如下所示： `` example.com. CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api. letsencrypt.org/acme/acct/1726001367; validationmethods=dns-01" `` ### 这是做什么的？ 左侧是我们希望控制证书颁发的域名，在本例中为 `example.com`。右侧有三个控制项： - 第一个是允许为域名颁发证书的 CA 的身份，在本例中为 `letsencrypt.org`。 - 第二个控制项是 `accounturi` 指令，它将颁发锁定到指定的 ACME 帐户。由于 ACME 始终使用加密和强加密身份验证，因此此部分确保只有授权用户才能为此域名请求证书。 - 第三个控制项是 `validationmethods` 指令，它将颁发锁定为仅使用一种基于 DNS 的域名验证方法。当为域名启用 DNSSEC 时，此部分可确保所有域名验证操作在加密上是安全的。这样，我们不再关心其他不安全的方法；CA 首先就不会接受它们。 ### 我们现在可以使用 ACME CAA 扩展吗？ ACME CAA 扩展自 2019 年以来就已存在，一些 CA（例如 Let's Encrypt、Google Trust Services 等）已支持它们。因此，理论上，自 2026 年 3 月 DNSSEC 成为域名验证的强制要求以来，您本可以拥有更强的颁发控制。在实践中，在某个功能被纳入 CA/Browser Forum 的基础要求之前，CA 总是犹豫是否要完全投入。这是因为每个功能都会增加他们的工作量并使他们的工作更加复杂。一个失败的案例，无论多么微小，都可能导致证书误发事件。 Chrome 团队长期以来一直是自动化的支持者。对自动化的支持是其根计划政策 (https://googlechrome.github.io/chromerootprogram/) 的核心部分，并且在该政策中，要求支持 ACME 和 ACME CAA 扩展。2026 年 2 月，该政策进行了更改，要求所有 CA 支持 ACME CAA 才能支持 ACME。 2026 年 5 月，CA/Browser Forum 投票（在 Ballot SC-098v2 (https://cabforum.org/2026/05/13/ballot-sc098v2-process-rfc-8657-caa-parameters/) 中）正式扩展对 CAA 的支持，并从 2027 年 3 月起使 ACME CAA 扩展对所有 CA 成为强制性要求。 如果您与支持它的 CA 合作，今天即可使用 ACME CAA 扩展。从明年开始，此功能将得到广泛支持，您将可以选择合作的 CA。 #### 订阅密码学与安全通讯 此订阅仅针对通讯；我们不会向您发送其他任何内容。 ## 简短新闻 ### 后量子密码学 - NIST 宣布了 9 个额外的 PQC 数字签名方案的第三轮候选者 (https://csrc.nist.gov/Projects/pqc-dig-sig/round-3-additional-signatures)，涵盖同源 (SQIsign)、格 (HAWK)、MPC-in-the-Head (MQOM, SDitH)、多变量 (MAYO, QR-UOV, SNOVA, UOV) 和基于对称的 (FAEST) 方法。 - Marin Ivezic 分析了 NIST 的九个第三轮额外 PQC 签名候选者 (https://postquantum.com/security-pqc/nist-third-round-pqc-signatures/)，涵盖四个数学系列（MPCitH、多变量、同源、格），考察了五个被淘汰的候选者，并涵盖了迁移影响和加密敏捷性的必要性。 - Michael Jones（COSE 工作组联合主席）指出 RFC 9964 的发布，该规范为 JOSE 和 COSE 指定了 ML-DSA (https://www.linkedin.com/feed/update/urn:li:activity:7462942769041293313/)，为互联网和设备生态系统（包括 FIDO2 和原型 Yubikeys）启用了后量子数字签名。 - Hans-Martin Lauridsen 宣布 RFC 9965 最终确定了 JSON Web 签名的 ML-DSA (https://www.linkedin.com/posts/hans-martin-lauridsen-63708395_noai-publicservice-share-7462932916462051328-yXz8)，为 OAuth 和 OIDC 启用了后量子支持，KeyCloak 已经在进行实现。 - Stephen Davidson 指出 Chrome 150 将在 TLS 中为企业私有信任 PKI 添加 ML-DSA 证书支持 (https://www.linkedin.com/posts/srdavidson_tls-postquantum-pqc-activity-7463275526149898240-49PK)（稳定版于 6 月 30 日发布），而公共 WebPKI 将采用 Merkle 树证书。 - Root Causes 播客第 613 集邀请了 NIST 的 Dustin Moody、Jason Soroko 和 Tim Callan，涵盖了 PQC (https://www.linkedin.com/posts/tim-callan_dustin-moody-of-nist-joins-jason-soroko-and-share-7457061005441830912-EFfr) 的当前状态、即将推出的 Falcon (FN-DSA) 和 HQC 的 FIPS 标准、第 4 轮算法以及 DSA On Ramp。 - Bas Westerbaan (Cloudflare) 在 Root Causes 播客第 614 集中解释了 PQ 证书的量子降级攻击风险 (https://www.linkedin.com/posts/baswesterbaan_deploying-post-quantum-certificates-is-cool-share-7457774380450902017-vFqv) 和缓解策略，包括 PQ Lock、证书透明度和 Merkle 树证书。 - Marin Ivezic 的量子效用图显示，CRQC 阈值 (https://www.linkedin.com/pulse/quantum-unfiltered-7-advantage-arrives-some-sooner-than-marin-ivezic-rwihe/) 位于量子优势阶梯的底部附近，这意味着在量子计算机提供广泛的工业价值之前，加密就可能被破解，从而压缩了 PQC 迁移的时间表。 - Mark B. Cooper (The PKI Guy) 宣布 Microsoft 的 KB5087539 在 ADCS 中启用了 ML-DSA (https://www.linkedin.com/posts/thepkiguy_pki-adcs-microsoft-share-7460714231202492416-ERPD) 支持，使 PQC 签名算法可在 Windows Server 2025 PKI 中使用。 - JEP 527 提议在 JDK 27 中为 TLS 1.3 提供后量子混合密钥交换 (https://openjdk.org/jeps/527)，将 ML-KEM 与 ECDHE (X25519, secp256r1, secp384r1) 结合，并默认启用 X25519MLKEM768 作为首选方案。 - PQStation 分析了超过 8,000 个真实世界 Nginx 部署中的 TLS 配置，未发现野生环境中的 PQC 混合密钥交换，然后成功在 PoC 银行环境中与 OCBC 的实时终端点上部署了 ML-KEM 混合 TLS (https://www.linkedin.com/posts/pqstation_in-our-latest-work-now-available-on-iacr-activity-7461581262516822016-VI7E)，且无需更改应用程序。 - How's My SSL? 宣布将从 2026 年 12 月起将没有 PQC 的 TLS 连接标记为“Bad” (https://blog.howsmyssl.com/2026/05/18/tls-1.3-1.2-and-post-quantum-ranking-changes/)，在此之前，从 2026 年 6 月起先将其标记为“Improvable”。 ### 密码学 - CrypTool 项目提供了一套免费的教育密码学工具套件 (https://www.cryptool.org/)，包括基于浏览器的实验、桌面应用程序和密码学谜题竞赛。 - Toyofumi Sawa 和 Kuniyasu Suzaki (IISEC) 表明，尽管进行了零化尝试，AES 密钥仍会跨操作系统、库和硬件层持久存在 (https://blackhat.com/asia-26/briefings/schedule/index.html#breaking-the-illusion-of-key-zeroization-how-os-libraries-and-hardware-keep-your-aes-keys-alive-51118)，打破了进程终止或重启后前向安全性的假设。 - J.C. Jones (ISRG) 宣布，在台北举行的开源密码学研讨会 (OSCW) 2026 会议的录像现已提供 (https://www.linkedin.com/feed/update/urn:li:activity:7450904040353492992/)，可在互联网档案馆和研讨会网站上获取。 - Trail of Bits 向 C2SP 提交了 SequenceHash (https://www.linkedin.com/posts/we-submitted-sequencehash-to-the-community-share-7458471168870670336-dYfm)，这是一个新规范，它泛化了 TupleHash，使其能够与任何哈希函数（SHA-256、BLAKE2 等）一起使用，以安全地将多个输入组合成单个哈希。 - Guy Lewin (Meta) 宣布 Messenger 现在使用 Cloudflare 的密钥透明度 (https://www.linkedin.com/posts/guy-lewin-48b00712_excited-to-share-something-ive-been-working-share-7458138779342614528-DD_o) 来通过空中分发 HSM 公钥用于 E2EE 备份，从而能够对 Meta 发布的公钥进行独立的公开审计。 - Nadim Kobeissi 宣布了 CedarCrypt 2026 (https://www.linkedin.com/posts/nadimkobeissi_cryptography-appliedcryptography-cedarcrypt2026-share-7453031984634683392-j4K7)，这是一门新的应用密码学暑期学校和会议，将于 2026 年 7 月 13-16 日在塞浦路斯帕福斯举行，涵盖 PQC、ZKPs、FHE、阈值密码学等，并为学生提供奖学金。 - Kate Kaye (World Privacy Forum) 报道了 UMBC 的研究，该研究发现 C2PA 的核心组件在其首次对该内容来源协议进行形式化方法分析中未能达到其密码学安全目标 (https://www.linkedin.com/feed/update/urn:li:activity:7460520246957830144/)。 - OpenSSL Corporation 宣布 OpenSSL 会议 2026 (https://www.linkedin.com/posts/osslcon2026-openssl-cryptography-ugcPost-7465243854015840256-03R9/) 将于 10 月 13-15 日在布拉格举行，演讲者包括 Daniel J. Bernstein 和 Tanja Lange。早鸟票可于 5 月 31 日前购买。 - Dirk Wetter 宣布了 testssl.sh 客户端模拟更新 (https://www.linkedin.com/posts/drdirkwetter_for-testsslsh-there-was-a-bigger-update-share-7462242007323926528-W3X1)，添加了 Android 16、支持 PQC 密钥交换的 Safari 26.x、支持 SM2 和 SM2MLKEM768 混合支持的 OpenSSL 4.0，以及基于 JA4/JA3 指纹的客户端整合。 ### 隐私 - Apple (https://www.linkedin.com/posts/emad-omara-82801b39_interoperable-e2ee-rcs-is-finally-rolling-share-7457191035689926656-3yMP) 和 Google (https://blog.google/products-and-platforms/platforms/android/android-ios-end-to-end-encrypted-rcs-messaging/) 宣布，从 iOS 26.5 开始，它们支持 Android 和 iPhone 用户之间交换的消息的端到端加密。 - Thomas Brewster (福布斯) 报道了警方如何通过蓝牙 (https://www.forbes.com/sites/the-wiretap/2026/05/05/apple-subpoena-and-car-bluetooth-help-cops-unmask-crypto-robber-suspect/) 识别了一名加密货币抢劫嫌疑人，方法是将偷来的逃亡车辆的蓝牙标识符与通过苹果传票获取的数据进行匹配。 - Eva Leung (WhatsApp/Meta) 宣布了 WhatsApp 上的 Meta AI 隐身聊天 (https://www.linkedin.com/feed/update/urn:li:activity:7460529283908902912/)，号称是首个大规模 AI 聊天，保证包括 Meta 在内的任何人都无法访问对话内容。 - Ken Macon (Reclaim The Net) 报道称，法国情报代表团支持削弱 E2EE (https://reclaimthenet.org/france-moves-to-break-encrypted-messaging)，支持一种“幽灵参与者”方法，密码学家长期以来一直认为这会破坏所有用户的安全。 - EFF 警告称，加拿大的 C-22 法案 (https://www.eff.org/deeplinks/2026/05/canadas-bill-c-22-repackaged-version-last-years-surveillance-nightmare) 复活了去年失败的 C-2 法案，要求保留一年元数据，扩大外国政府数据共享，并授权公共安全部长要求加密后门，同时禁止公司披露此类命令。 ### PKI - Leo Grove (SSL.com) 宣布了 bimi.sh (https://www.linkedin.com/posts/leogrove_bimi-vmc-cmc-share-7462169391078486016-E0C2)，一个提供 BIMI 透明度的公开市场情报仪表板。