Konfiguracja rekordu CAA w DNS-ie

CAA to akronim od Certification Authority Authorization. CAA jest rekordem DNS określającym, który z wystawców (Urzędów Certyfikacji) może wystawić certyfikat SSL dla określonej domeny. Od września 2017 roku każdy z Urzędów Certyfikacji będącym członkiem CA/Browser Forum zobowiązany jest do weryfikacji rekordu DNS CAA przed wystawieniem certyfikatu SSL.

Rekord CAA jest ustandaryzowany, a pełna specyfikacja znajduje się w RFC 6844.

Odpytywanie serwera DNS o rekord CAA

Aby sprawdzić rekordy CAA dla określonej domeny, użyj polecenia dig:

dig moja-domena.pl caa

Przykładowy wynik działania polecenia dig:

Brak rekordu CAA w DNS-ie:

moja-domena.pl.  IN  CAA

Brak rekordów CAA oznacza, że każdy z Urzędów Certyfikacji jest uprawniony do wystawienia certyfikatów SSL dla domeny.


Rekord CAA istnieje w DNS-ie:

moja-domena.pl.  600  IN  CAA  0  issue  "digicert.com"
moja-domena.pl.  600  IN  CAA  0  issuewild  "digicert.com"
moja-domena.pl.  600  IN  CAA  0  iodef "mailto:mail@example.com"

W powyższym przypadku w do wystawienia certyfikatu uprawniony jest jedynie DigiCert. Powyższy rekord CAA umożliwia wystawienie certyfikatów SSL tylko dla następujących wystawców: DigiCert, Symantec, Thawte, GeoTrust i RapidSSL (DigiCert jest właścicielem marek Symantec, Thawte, GeoTrust i RapidSSL). Pozostali wystawcy, np. comodo.com, certum.pl nie są uprawnieni do wystawienia certyfikatu SSL dla domeny.

Znaczenie tagów issue, issuewild i iodef

Każdy rekord CAA składa się z flagi (wartość od 0 do 255), tagu (np. issue) i wartości przypisanej do tagu (np. digicert.com).

  • Tag issue informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL dla pojedynczych nazw hostów w domenie moja-domena.pl. Np. www.moja-domena.pl, mail.moja-domena.pl, panel.moja-domena.pl.
  • Tag issuewild informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL typu Wildcard, np. *.moja-domena.pl.
  • Tag iodef może zawierać adres e-mail lub URL. W przypadku gdy nieupoważniony wystawca (w tym przypadku każdy inny od digicert.com) otrzyma prośbę o wystawienie certyfikatu SSL, zobowiązany jest wysłać komunikat o takim zdarzeniu pod zdefiniowany w tagu iodef adres e-mail lub URL.