認証局認証（CAA）を採用すると、ドメイン所有者は電子証明書を発行できる認証局を指定できます。

最近 S/MIME ベースライン要件（BR）が採用されたことを受けて、CA/ブラウザ（CA/B）フォーラムは、CAA を拡張して S/MIME 証明書を追加することを検討しています。

S/MIME BR は、メールセキュリティに用いられる電子証明書の発行を管理する標準を業界として初めて制定しており、2023 年後半に業界全体で発効する予定です。

最初の S/MIME BR が確立されたことを受けて、CA/B のワーキンググループは、CAA の採用を含めて S/MIME エコシステムを改善する追加のセキュリティ構想にすでに着手しています。

CAA はもともと、ドメイン所有者が DNS を使用して、そのドメインに対する TLS 証明書の発行を承認された認証局（CA）を指定する方法として、RFC 8659 で定義されました。CAA レコードは、ドメインの使用をめぐる保有者の管理性を強化し、意図しない証明書の誤発行リスクを軽減します。

CA は、CA/B フォーラムの TLS BR に従って、TLS 証明書の CAA チェックを採用する必要があります。何千ものドメインが、TLS 証明書のために 1 つ以上の CA を指定する CAA レコードをすでに導入しています。

S/MIME のユースケースは、TLS とはかなり異なり、個別の CAA を定義するに値するというのが根拠です。たとえば、複数の CA が自社のドメインに対して TLS を発行することを許可するものの、そのメールドメインに対して S/MIME 証明書を発行する別の CA のサブセットを承認したいと考える企業もあるかもしれません。認証マーク証明書（VMC）など他の証明書は、その手続きで使用する CAA をすでに拡張しています。

S/MIME に対する CAA の適合性をめぐる議論に貢献すべく、デジサートの Corey Bonnell は、メールアドレスに対する認証局認証（CAA）処理に関するインターネットドラフトを提出しました。

S/MIME に対する CAA のインターネットドラフトでは、CAA 処理をメールアドレスに適用する方法を規定し、S/MIME の文脈で使用する新しい CAA プロパティタグ "issueemail" を定義しています。1 つ以上の "issueemail" プロパティタグを追加することで、ドメイン所有者はメールドメインに対する S/MIME 証明書の発行を承認された CA を指定できます。

CA/B フォーラムは、S/MIME BR の今後の更新で CAA を追加する投票を検討する可能性があり、証明書の発行前に CA が CAA をチェックすることが義務化されるかもしれません。

S/MIME に対する CAA の使用案に関する議論は、IETF の LAMPS ワーキンググループのメーリングリストと、CA/B フォーラムの S/MIME ワーキンググループでさらに進められているところです。