Jak nastavit CAA záznamy
Záznam CAA umožňuje majitelům/správcům domény deklarovat, které certifikační autority mohou pro doménu vydat SSL certifikát. Záznamy umožňují také nastavit pravidla oznámení v případě, že někdo požádá o certifikát od neautorizované certifikační autority. Umístění CAA záznamů do DNS domény je další z možností jak posílit bezpečnost na internetu.
Co je to CAA záznam?
CAA záznam (Certification Authority Authorization) je záznam v DNS zóně u domény, který říká jaká certifikační autorita má povoleno vystavovat SSL certifikáty k doméně. Pokud není v DNS uveden žádný záznam CAA, může každá certifikační autorita pro danou doménu vydat certifikát. Je-li přítomen záznam CAA, smí vydat certifikáty pro doménu pouze certifikační autority uvedené v záznamech. Záznamy CAA mohou nastavit zásady pro celou doménu nebo pro určité názvy. Záznamy CAA jsou také děděny subdoménami, proto záznam CAA vložený do domenyxyz.cz bude platný i na jakoukoli subdoménu, například na subdomeny.domenaxyz.cz.
CAA záznamy jsou specifikovány v RFC 6844 .
V březnu 2017 byla povinnost kontrolovat CAA záznamy u domény odhlašována ve sdružení CAB fórum a od 8. září 2017 jsou povinny všechny veřejné certifikační autority před vydáním certifikátu kontrolovat u domén CAA záznamy a žádost o certifikát odmítnout, pokud CAA záznam existuje a certifikační autorita zde ne je uvedena.
Parametry záznamu
Kanonický formát vkládaného záznamu CAA je: CAA <flags> <tag> <value>
- <flags> (0-255) definuje, jak je záznam kritický. 0 = povinný. Doporučujeme nastavit na hodnotu „0“.
Každá certifikační autorita si podle vlastní politiky může dále specifikovat vlastní parametry v hodnotách. - Parametry <tag>
- „issue“ povoluje vystavení všech druhů certifikátů certifikační autority
- „issuewild“ umožňuje povolit samostatně vystavení Wildcard certifikátů
Uvedením: 0 issuewild „;“ oznámíme, že se na doméně nemají vystavovat žádné Wildcard certifikáty - „iodef“ nastavuje e-mailovou adresu nebo adresu webové služby pro nahlášení porušení zásad uvedených v CAA záznamech certifikační autoritou
- <value> - hodnota parametru v uvozovkách
Ukázka formátu CAA záznamu v DNS:
- Doména Typ Hodnota | poznámka
- sslmentor.cz. IN CAA 0 issue "sectigo.com" | certifikát může vystavit CA Sectigo (dříve Comodo)
- sslmentor.cz. IN CAA 0 issue "letsencrypt.org" | certifikát může vystavit CA Let's Encrypt
- sslmentor.cz. IN CAA 0 issuewild "sectigo.com" | Wildcard certifikát může vystavit POUZE CA Sectigo
- sslmentor.cz. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt pro oznámení narušení pravidel
Upozornění: Jednou z chyb je nastavení pouze záznamu „issuewild“. Ten sice povoluje vystavení WildCard SSL certifikátu pro zvolenou certifikační autoritu, ale bez uvedení „issue“ s uvedením certifikační autority nebude moci autorita certifikát vystavit!
Generování CAA záznamů
Než umístíme do DNS zóny CAA záznam, je vhodné jej vygenerovat pomocí některé z on-line služeb. Jedním z takových je nástroj od SSLMate (CAA Record Helper), který nabízí na výběr mnoho certifikačních autorit. Stačí si zvolit preferovanou autoritu, zda lze vydávat jakýkoli certifikát nebo i WildCard a generátor nabídne záznamy pro vložení do DNS.
Vložení CAA záznamů do DNS
Aby bylo možné vložit CAA záznam, musí jej poskytovatel DNS záznamů podporovat. V dnešní době by vkládání CAA záznamů do DNS měl nabízet každý hosting nebo registrátor. Na obrázcích ukazujeme vložení při hostingu Wedos a registrátora gransy (subreg.cz). Vždy je nutné po vložení CAA záznamů počkat než se rozšíří. Pokud to hosting požaduje, nezapomeňte nové DNS záznamy nechat vypublikovat do internetu. Například při hostingu Wedos potvrdit "Aplikovat změny".
Kontrola CAA záznamů
Jakmile se DNS záznamy rozšíří, můžeme některým z on-line nástrojů zkontrolovat zda se nám podařilo úspěšně CAA záznamy vložit. Například dnsspy.io/labs/caa-validator nebo pomocí vypsání CAA záznamu v DNS nástrojem digwebinterface.com
Kam dál?
Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!