证书颁发机构授权（CAA）允许域所有者指定哪些CA可以颁发数字证书，继最近采用S/MIME基线要求（BR）之后，CA/浏览器（CA/B）论坛正在考虑将CAA扩展到包括S/MIME证书。S/MIME BR制定了第一个全行业标准，管理用于电子邮件安全的数字证书的颁发，预计将于2023年晚些时候在整个行业生效。

随着最初的S/MIME BR的建立，CA/B工作组已经在研究其他安全思想，以改善S/MIME生态系统，包括采用CAA。

CAA最初在RFC 8659中定义为域持有者使用DNS指定哪些证书颁发机构（CA）被批准为该域颁发TLS证书的一种方式。CAA记录为持有者提供了对其域名使用的额外控制，并降低了意外证书错误颁发的风险。

CAA最初在RFC 8659中定义为域持有者使用DNS指定哪些证书颁发机构（CA）被批准为该域颁发TLS证书的一种方式。CAA记录为持有者提供了对其域名使用的额外控制，并降低了意外证书错误颁发的风险。

CA必须根据CA/B论坛的TLS BR采用CAA检查TLS证书，成千上万的域已经部署了CAA记录，为TLS证书指定一个或多个CA。

这种观点认为，S/MIME用例与TLS有足够的不同，值得单独定义CAA。例如，企业可能希望允许多个CA为其域颁发TLS，但批准不同的CA子集为其电子邮件域颁发S/MIME证书。其他证书类型，如验证标记证书，已经扩展了CAA，用于其程序。

为了促进关于CAA是否适合s/MIME的讨论，DigiCert的Corey Bonnell提交了一份关于电子邮件地址的认证机构授权（CAA）处理的互联网草案。

S/MIME互联网CAA草案描述了如何将CAA处理应用于电子邮件地址，并定义了一个新的CAA属性标签“issuemail”，用于S/MIME上下文。通过添加一个或多个“issuemail”属性标签，域持有者可以指定被批准为电子邮件域颁发S/MIME证书的CA。CA/B论坛可能会考虑在S/MIME BR的未来更新中投票添加CAA，强制CA在颁发证书之前检查CAA。IETF的LAMPS工作组邮件列表以及CA/B论坛S/MIME工作组内正在进行关于CAA用于S/MIME的拟议使用的额外讨论。

本文由 聚力诚信 根据 Digicert 博客S/MIME CONSIDERS ADOPTION OF CAA 编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。