CAA zapis
Certification Authority Authorization (CAA) DNS resursni zapis omogućuje vlasniku DNS domene da specificira Certifikacijske Autoritete (CA) ovlaštene za izdavanje certifikata za tu domenu. Objavljivanje CAA resursnih zapisa omogućuje javnom Certifikacijskom Autoritetu da implementira dodatne kontrole kako bi smanjio rizik od nenamjernog izdavanja certifikata.
Zapis također omogućuje postavljanje pravila obavještavanja kada netko zatraži certifikat od neovlaštenog CA. Postavljanje CAA zapisa u DNS domenu je još jedan način poboljšanja sigurnosti Interneta.
Što je CAA zapis
CAA (Certification Authority Authorization) zapis je zapis u DNS zoni domene koji govori koji certifikacijski autoritet smije izdati SSL certifikate za tu domenu. Ako u DNS-u nema CAA zapisa, svaki CA može izdati certifikat za tu domenu. Ako je prisutan CAA zapis, samo CA navedeni u zapisima smiju izdavati certifikate za tu domenu. CAA zapisi mogu postaviti politike na razini domene ili specificiranih imena. CAA zapisi se također nasljeđuju na poddomene, pa će se CAA zapis koji se unese u primjer.net također primjenjivati na bilo koju poddomenu, poput poddomene.primjer.net.
- CAA zapisi su specificirani u RFC 6844.
- U ožujku 2017., obveza provjere CAA zapisa domene glasovala se na CAB forumu, i od 8. rujna 2017., svi javni CA-ovi obavezni su provjeriti CAA zapise domene prije izdavanja certifikata i odbiti zahtjev za certifikat ako CAA zapis postoji i CA nije naveden tamo.
Vrijednosti CAA zapisa
Kanonski prikaz formata CAA zapisa je: CAA <flags> <tag> <value>
- <flags> (0 – 255) Zadano je 0 (obavezno). Ako postavite 1, to blokira provjeru ako oznaka nije poznata CA-i. Preporučujemo postavljanje na "0".
Svaki CA može dodatno specificirati svoje parametre u pogledu vrijednosti. - Parametri <tag>
- issue omogućuje izdavanje certifikata svih vrsta od određenog CA-a
- issuewild omogućuje omogućavanje izdavanja WildCard certifikata zasebno
Navođenjem 0 issuewild ";" označavamo da se ne bi trebali izdavati WildCard certifikati na domeni
Svojstvo issuewild ima istu sintaksu i semantiku kao i svojstvo issue, osim što svojstva issuewild dodjeljuju ovlasti za izdavanje certifikata koji specificiraju wildcard domenu i svojstva issuewild imaju prednost nad svojstvima issue kad su specificirana. - iodef postavlja e-mail adresu ili adresu Web usluge za prijavljivanje povreda pravila navedenih u CAA zapisima od strane certifikacijskog tijela
- <value>
Primjer formata CAA zapisa u DNS-u:
- Domena Tip Vrijednost | napomena
- sslmentor.com. IN CAA 0 issue "sectigo.com" | certifikat može izdati CA Sectigo
- sslmentor.com. IN CAA 0 issue "letsencrypt.org" | certifikat može izdati Let’s Encrypt
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | SAMO CA Sectigo može izdati WildCard certifikat
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt za obavijesti o kršenjima pravila
Kako postaviti CAA zapis
Prije nego što postavimo CAA zapis u DNS zonu, preporučljivo je generirati ga pomoću nekog od online alata. Jedan takav alat je SSLMate (CAA Record Helper), koji nudi izbor mnogih certifikacijskih autoriteta. Sve što trebate učiniti je odabrati svog preferiranog autoriteta, možete li izdati bilo koji certifikat ili čak WildCard, i generator će ponuditi zapise za umetanje u DNS.
Umetanje CAA zapisa u DNS
Kako biste umetnuli CAA zapis, pružatelj DNS zapisa mora ga podržavati. Danas svaki hosting ili registrant trebao bi ponuditi unos CAA zapisa u DNS. Slike prikazuju umetanje kod nekih hosting usluga. Uvijek je potrebno pričekati da se proširi nakon umetanja CAA zapisa. Ako hosting zahtijeva, nemojte zaboraviti objaviti nove DNS zapise na Internetu. Na primjer, morate potvrditi "Primijeni promjene".
Provjera CAA zapisa
Kako se zapisi DNS-a proširuju, možemo koristiti neke od online alata za provjeru jesmo li uspješno učitali CAA zapise. Na primjer, dnsspy.io/labs/caa-validator ili nabrajanjem CAA zapisa u DNS-u s digwebinterface.com
Kamo dalje?
Povratak na pomoć
Našli ste grešku ili ne razumete nešto? Pišite nam!
