Co to jest rekord CAA?

Rekord CAA (Certification Authority Authorization) służy do określenia, które urzędy (wystawcy certyfikatów SSL) certyfikacji mogą wydawać certyfikaty SSL dla domeny, w której rekord CAA został dodany.

Zadaniem rekordu CAA jest umożliwienie właścicielowi domeny na określenie, który wystawca może wygenerować certyfikat SSL dla danej domeny. Dodatkowo za pomocą rekordu CAA można określić w jaki sposób właściciel domeny zostanie powiadomiony w sytuacji kiedy ktoś będzie próbował wygenerować certyfikat SSL u wystawcy, który nie jest zdefiniowany jako rekord CAA.

Jeśli w domenie nie jest określony rekord CAA oznacza to, że certyfikat SSL dla danej domeny może zostać wygenerowany u każdego wystawcy certyfikatów SS, w przypadku gdy rekord CAA jest zdefiniowany, certyfikat SSL dla takiej domeny może zostać wygenerowany jedynie u wystawcy, który został zdefiniowany jako rekord CAA.

Rekordy CAA można tworzyć zarówno dla całej domeny, ale także dla nazw hostów. Rekord CAA jest rekordem dziedziczonym, a to oznacza, że subdomeny również przejmują rekord CAA zdefiniowany w głównej domenie. Zdefiniowanie rekordu CAA dla domeny mojadomena.pl obejmuje również wszystkie subdomeny w tej domenie np. subdomena.mojadomena.pl. Rekord CAA można również definiować osobno dla subdomen. Za pomocą rekordu CAA można definiować generowanie certyfikatów SSL zarówno dla pojedynczych domen jak również dla rozwiązań wildcard.

Od września 2017 wszyscy wystawcy certyfikatów SSL są zobowiązani do sprawdzania rekordu CAA.

Rekord DNS CAA jest zdefiniowany w RFC 6844.

Format rekordu CAA

Na całość rekordu CAA składają się następujące elementy:
- flaga – wartość liczbowa z zakresu od 0 do 255
- tag – wartość zapisana w kodzie ASCII mogąca przybrać jedną z 3 wartości: issue, issuewild, iodef
- value – wartość bezpośrednio powiązana z wybranym tagiem

Tag w rekordzie CAA jak już wspominaliśmy wcześniej może mieć jedną z 3 wartości:
issue – oznacza, który wystawca będzie upoważniony przez właściciela domeny do generowania certyfikatu SSL dla domeny, w której taki rekord CAA został zdefiniowany np. digicert.com, comodoca.com itp.
issuewild – oznacza, że wystawca może generować certyfikaty ssl wildcard. Tutaj również definujemy wystawcę
iodef – ta wartość określa w jaki sposób wystawca certyfikatu SSL będzie raportował incydenty, w których nieautoryzowany wydawca certyfikatu SSL będzie próbował wygenerować certyfikat SSL dla takiej domeny. Parametr ten może przybrać formę adresu www lub adresu e-mail.

Jak wygląda rekord CAA?

Rekord CAA przybiera poniższą formę

domena.pl. CAA 0 issue "comodoca.com"

Jeśli chcemy aby poza Comodo inny wystawca mógł generować certyfikaty SSL dla danej domeny należy go wpisać osobnym rekordem CAA

domena.pl. CAA 0 issue "comodoca.com"
domena.pl. CAA 0 issue "digicert.com"

W tym przypadku autoryzowanymi wystawcami są Comodo oraz Digicert. UWAGA! Wpis DigiCert odnosi się także do certyfikatów Symantec, Thawte, GeoTrust, RapidSSL z uwagi na to, że właścicielem tych marek jest również DigiCert.

Natomiast w przypadku wpisu:

domena.pl. CAA 0 issuewild "digicert.com"

W powyższym przykładzie dodatkowo DigiCert zostało upoważnione do generowania certyfikatów ssl wildcard dla domeny.

Jeśli chodzi o parametr iodef wygląda on następująco:

domena.pl. CAA 0 iodef "mailto:poczta@domena.pl"

W sytuacji kiedy nieautoryzowane centrum będzie poproszone o wygenerowanie certyfikatu SSL to na adres poczta@domena.pl zostanie przesłana informacja o próbie takiego generowania certyfikatu SSL.
Sumaryczny wpis DNS dla CAA będzie miał postać:

domena.pl. CAA 0 issue "comodoca.com"
domena.pl. CAA 0 issue "digicert.com"
domena.pl. CAA 0 issuewild "digicert.com"
domena.pl. CAA 0 iodef "mailto:poczta@domena.pl"

Last Update: 15 września 2018  

15 września 2018 3800  Podstawowe Informacje  
Total 0 Votes:
0

Tell us how can we improve this post?

+ = Verify Human or Spambot ?

Add A Knowledge Base Question !

You will receive an email when your question will be answered.

+ = Verify Human or Spambot ?

UDOSTĘPNIJ

Add A Knowledge Base Question !

You will receive an email when your question will be answered.

+ = Verify Human or Spambot ?