Vanaf 2 juni maakt Internet.nl het mogelijk om je domeinen te testen op Certification Authority Authorization (CAA). De nieuwe subtest voor CAA is onderdeel van zowel de website- als de mail-test. Op dit moment heeft de subtest geen invloed op de score.
Wat is CAA?
Met Certification Authority Authorisation (CAA) kun je als houder van een domeinnaam een of meer certificaatautoriteiten opgeven die certificaten voor je domeinnaam mogen uitgeven. Een certificaatautoriteit mag geen certificaat uitgeven, tenzij de CA vaststelt dat de certificaataanvraag consistent is met de toepasselijke CAA-records.
Waarom is CAA belangrijk?
Voor een veilige verbinding met uw website of mailserver is het certificaat cruciaal. Als een kwaadwillende een certificaat voor uw domeinnaam kan bemachtigen, kan deze mogelijk gevoelige gegevens onderscheppen. Door het aantal geautoriseerde certificaatautoriteiten te beperken, verkleint u het risico op een verkeerde uitgifte.
Merk op dat CAA anders werkt dan DANE. Het doel van CAA is om het risico op een onjuiste uitgifte van certificaten te verminderen. Terwijl DANE een mechanisme is om de geldigheid van uitgegeven certificaten te controleren en zo te voorkomen dat verkeerd uitgegeven certificaten worden vertrouwd. Vooral voor e-mail is het belangrijk om ook DANE toe te passen, omdat dit de meest toegepaste standaard is voor geauthenticeerde mailtransportversleuteling.
Waar controleert de CAA-test in Internet.nl op?
Internet.nl controleert of de nameservers van je geteste domein of de domeinen van bijbehorende mailservers (MX) één of meer CAA-records bevatten die allemaal de juiste syntax hebben. Ten minste één van deze CAA-records moet de tag issue hebben. Anders resulteert de test in een onvoldoende. Er wordt niet gecontroleerd of de certificaatautoriteit van het huidige certificaat overeenkomt met een of meer van de issue en issuewild waarden, oftewel of het huidige certificaat op dit moment opnieuw uitgegeven zou kunnen worden. Merk op dat het resultaat van de test momenteel niet meetelt in de score.
Als je de Automatic Certificate Management Environment (ACME) standaard gebruikt en jouw certificaatautoriteit ondersteunt dit, dan raden we je aan om de parameters validationmethods en accounturi te gebruiken om de isssuance door de geautoriseerde certificaatautoriteit verder te beperken. Verder is het aan te raden om issuewild, issuemail en issuevmc toe te voegen met een lege ; als je respectievelijk geen wildcard-, S/MIME- en/of BIMI-certificaten gebruikt. Anders mag elke certificaatautoriteit deze certificaten nog steeds uitgeven voor jouw domein, aangezien issue hier geen betrekking op heeft.
Aankomende release: nieuwe TLS-richtlijnen
NCSC heeft onlangs een nieuwe versie van de TLS-richtlijnen gepubliceerd. De komende release van Internet.nl zal deze bijgewerkte richtlijnen gebruiken als baseline voor de TLS-test. We verwachten dat deze nieuwe versie van Internet.nl rond september/oktober 2025 live zal gaan.
Over Internet.nl
De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.
bron: internet.nl
