TCS

Update on TLS and S/MIME

Important Updates Effective March 15, 2025

HARICA nos informa de próximas actualizaciones:

From: support@harica.gr
Date: 10/03/2025 17:18
Subject: Important Updates Effective March 15, 2025

We would like to inform you of two important updates regarding TLS and S/MIME certificate issuance:

Multi-Perspective Issuance Corroboration (MPIC)

Starting on March 15, 2025, HARICA will implement Multi-Perspective Issuance Corroboration (MPIC) for Domain Authorization, Control, and Certification Authority Authorization (CAA) Record checks before issuing any TLS Server Authentication Certificates, in accordance with the CA/Browser Forum TLS Baseline Requirements.

With MPIC, DNS queries for Domain Validation and CAA checks must be verified from multiple, randomly distributed, and distant locations across the Internet. If the information corroboration fails (up to a certain level), the certificate issuance will be blocked. Domain Owners must ensure that their Authoritative DNS servers are accessible from the global Internet, allowing the corroboration to be completed without failures that would prevent certificate issuance.

We remind our Subscribers that Publicly-Trusted TLS Server Authentication Certificates are “intended to be used for authenticating servers accessible through the Internet,” as described in the CA/Browser Forum TLS Baseline Requirements.

Mandatory CAA Checks for Mailbox Addresses

On the same date, HARICA will also be required to perform CAA checks for Mailbox Addresses, as mandated by the CA/Browser Forum S/MIME Baseline Requirements.

What You Need to Know:

  • Before issuing an S/MIME certificate that includes a Mailbox Address, HARICA will retrieve and process CAA records, similar to the process used for TLS certificates.
  • If your DNS CAA record contains the issuemail tag, it must explicitly include the value "harica.gr", authorizing HARICA for S/MIME certificate issuance.
  • If no issuemail tag is present, no action is required.

Versión en castellano

From: support@harica.gr
Date: 10/03/2025 17:18
Subject: Important Updates Effective March 15, 2025

Nos gustaría informarle sobre dos actualizaciones importantes relacionadas con la emisión de certificados TLS y S/MIME:

Corroboración de Emisión con Perspectiva Múltiple (MPIC)

A partir del 15 de marzo de 2025, HARICA implementará la Corroboración de Emisión con Perspectiva Múltiple (MPIC) para la autorización y el control de dominios, así como para la verificación de los registros Certification Authority Authorization (CAA) antes de emitir cualquier certificado de autenticación de servidor TLS, de acuerdo con los requisitos base del CA/Browser Forum TLS.

Con MPIC, las consultas DNS para la validación de dominio y las verificaciones CAA deberán ser confirmadas desde múltiples ubicaciones distribuidas aleatoriamente y distantes en Internet. Si la corroboración de la información falla (hasta cierto nivel), la emisión del certificado será bloqueada. Los propietarios de dominios deben asegurarse de que sus servidores DNS autoritativos sean accesibles desde Internet a nivel global, permitiendo completar la corroboración sin fallos que puedan impedir la emisión del certificado.

Recordamos a nuestros suscriptores que los certificados de autenticación de servidor TLS de confianza pública están “destinados a autenticar servidores accesibles a través de Internet”, según lo descrito en los requisitos base del CA/Browser Forum TLS.

Verificación Obligatoria de Registros CAA para Direcciones de Correo

En la misma fecha, HARICA también estará obligada a realizar verificaciones CAA para direcciones de correo, según lo establecido en los requisitos base del CA/Browser Forum S/MIME.

Lo que debe saber:

  • Antes de emitir un certificado S/MIME que incluya una dirección de correo, HARICA recuperará y procesará los registros CAA, de manera similar a los certificados TLS.
  • Si el registro DNS CAA contiene la etiqueta issuemail, deberá incluir explícitamente el valor "harica.gr", autorizando a HARICA para la emisión de certificados S/MIME.
  • Si no hay una etiqueta issuemail, no se requiere ninguna acción.